Orvis har indrømmet at lække interne adgangskoder, der kunne have afsløret selskabets sikkerhed

Orvis blev oprettet i 1850'erne og betragtes som en af de første postordrevirksomheder i USA. Det begyndte som en specialiseret detailhandler til fluefiskerutstyr, men det sælger nu alle slags tøj og sportsartikler. Det beskæftiger omkring 1.700 mennesker i næsten 100 lokationer, og det er noget af et husholdningsnavn i dele af Amerika og Storbritannien. Nu er det også berømt for at have udsat en enorm mængde følsomme interne oplysninger om Pastebin.

Brian Krebs, cybersikkerhedsjournalisten, der først rapporterede om hændelsen, beskrev lækagen som "det langt mest ekstreme eksempel" på dataeksponering, han nogensinde har set. Men hvem er ansvarlig for overtrædelsen? Og hvordan skete det?

En person uforvarende efterlod masser af Orvis brugernavne og adgangskoder for verden at se

Som du kan se, er Orvis en relativt stor organisation, og du kan kun forestille dig, hvor mange forskellige tredjeparts tjenester den er afhængig af for at drive. For at køre disse tredjeparts tjenester har Orvis-medarbejdere naturligvis brug af loginoplysninger, og af en eller anden grund havde en enkelt person adgang til alle disse brugernavne og adgangskoder. Den nævnte person begik derefter den frygtelige fejl ved at uploade dem alle til Pastebin, hvor de var tilgængelige for alle med internetforbindelse.

Arten af de udsatte data er så forskelligartet, at det kan få dit hoved til at dreje. Inkluderet i filen var almindelige brugernavne og adgangskoder, der kan sætte Orvis 'fysiske og online sikkerhed under alvorligt pres, hvis de falder i de forkerte hænder.

Der var loginoplysninger for alt fra Wi-Fi-netværk via backend-servere, antivirus- og firewallprodukter, DNS-kontroller, FTP, Microsoft 365 og Active Directory-konti til mobile betalingssystemer. Der var også adgangskoder til sikkerhedskameraer, batteribackup-systemer, dørkontrollere samt dør- og alarmkoder. Der var endda en kombination til et pengeskab, der opbevares i et af forhandlerens serverrum.

Filen blev først fundet af et team af eksperter, der arbejdede for Hold Security og 4iQ, der mener, at datalækagen sandsynligvis var resultatet af en ærlig fejl. Hvem der imidlertid gjorde nævnte fejl, og hvorfor de havde adgang til alle disse oplysninger forbliver ukendt. En notation der siger "VT Technical Services" kan findes i begyndelsen af filen, men på dette tidspunkt forbliver dens betydning ukendt.

Orvis siger, at tingene ikke er så dårlige, som de ser ud til

Så overraskende nok, så snart Brian Krebs fik blæst fra lækagen, ringede han til Orvis og bad om en kommentar. En talsperson var hurtig med at påpege, at den utilsigtede lækkede fil indeholdt en hel del gamle adgangskoder, der ikke længere var aktive. Nyere legitimationsoplysninger er allerede ugyldiggjort, og ifølge detailhandleren blev den eksponerede fil fjernet kun timer efter, at den blev vist online.

Sikkerhedsforskerne, der opdagede lækagen, begyndte dog at variere. De siger, at adgangskodefilen blev lagt på Pastebin ikke en gang, men to gange - først den 4. oktober og senere den 22. oktober.

Da Brian Krebs bad Orvis om at bekræfte eller benægte disse fund, blokerede forhandleren hans e-mails. Selv hvis de personer, der er ansvarlige for onlineshopens sikkerhed og PR, er overbeviste om, at forskerne tager fejl, og at filen var tilgængelig i en begrænset periode, er dette næppe den perfekte reaktion i kølvandet på en dataeksponeringshændelse, der kunne have haft absolut ødelæggende konsekvenser for Orvis 'forretning.