Keepnet Labs bekræfter, at 5 milliarder e-mail-adresser og adgangskoder, der er samlet fra tidligere dataforbrud, blev udsat
En database med fem milliarder poster fulde af brugernavne og adgangskoder blev udsat for internettet og var ikke beskyttet af nogen form for godkendelse. Begivenheden greb forudsigeligt mere end et par overskrifter, især de seneste dage, men desværre gjorde det det af alle de forkerte grunde.
Den sårbare Elasticsearch-database blev opdaget af sikkerhedsforsker Bob Diachenko, som ikke kun blev overrasket over størrelsen på databasen, men også af den måde, informationen inde i den er struktureret på. En kort undersøgelse forbandt de eksponerede data til et britisk-baseret cybersikkerhedsfirma kaldet Keepnet Labs, som offentliggjorde en erklæring i sidste uge i et forsøg på at afklare, hvad der gik galt, og hvorfor.
Det lyder værre end det er
En af hovedvægterne i sikkerhedsfirmaets erklæring er, at databasen ikke indeholder nogen Keepnet Labs kundedata. Keepnet Labs er et trusselsinformationfirma, der indsamler login-legitimationsoplysninger lækket under dataovertrædelser, og hvis det finder detaljerne hos nogle af sine kunder, underretter det dem og rådgiver dem om, hvilke handlinger de har brug for at tage.
Elasticsearch-databasen var fuld af brugernavne og adgangskoder lækket under forskellige cybersikkerhedshændelser, der opstod mellem 2012 og 2019. Ud over loginoplysningerne indeholdt hver post kilden til lækagen, året for overtrædelsen og adgangskodelagringsmetoden.
Ifølge erklæringen brugte Keepnet Labs databasen til at levere sin trusselsinformationstjeneste, men det var ikke ansvarlig for at vedligeholde den. Dette var jobbet for en entreprenør, der havde arbejdet med sikkerhedsfirmaet siden februar 2018. Mens han udførte planlagt vedligeholdelse, slog en medarbejder hos den nævnte entreprenør kortvarigt firewall'en for at fremskynde processen og udsatte uforvarende dataene. Efter cirka ti minutter blev firewallen tændt igen, men på det tidspunkt var databasen allerede indekseret af BinaryEdge, og det er derfor, Diachenko lykkedes at finde den.
Kort sagt var lækagen ikke så dårlig, som den så ud i starten. Alle brugernavne og adgangskoder var lækket før hændelsen, og selvom de var tilgængelige i en enkelt, velstruktureret database, var det ifølge Keepnet praktisk talt umuligt at downloade en meningsfuld del af den, mens den stadig blev udsat. Virksomheden siger, at det har lært sine erfaringer og taget forholdsregler for at sikre, at dette ikke sker igen. Desværre tog Keepnet Labs i øjeblikket efter hændelsen endnu et sæt forholdsregler, der ikke satte det i det bedste lys.
Videregivelsen var ikke nøjagtigt glat
Bob Diachenko fandt opdagelsen tilbage i marts, og efter at han havde offentliggjort sin rapport, dækkede mere end et par cybersecurity-nyheder og blogs lækagen. Keepnet Labs mente, at mange af dem fremsatte vildledende udsagn under deres dækning, hvorfor der blev kontaktet et par journalister og blev bedt om at redigere deres artikler.
Den populære sikkerhedsblogger Graham Cluley modtog også en e-mail fra Keepnet, og selvom han ikke troede, at hans repræsentation af de faktiske forhold på nogen måde var forkert, var han mere end villig til at give sikkerhedsfirmaet en chance for at fortælle sin side af historien. I stedet for en officiel erklæring eller en chance for at tale med en talsperson, modtog han imidlertid en e-mail fra Keepnets advokater, der fortalte ham, at hvis han ikke reviderer sin artikel og fjerner firmaets navn, ville han blive stillet over for juridiske handlinger mod Hej M.
Der er absolut intet galt i, at Keepnet Labs forsvarer sit omdømme, hvis det føler, at det er blevet beskadiget af dårlig rapportering. I næsten tre hele måneder udstedte virksomheden dog ikke en officiel erklæring for at sætte rekorden lige, og det nægtede at samarbejde med journalisterne for at præsentere alle fakta nøjagtigt. Dette kan have en endnu større indflydelse på Keepnets omdømme end den påståede fejlagtige gengivelse af fakta på nogle websteder.
