Orvis hat zugegeben, interne Passwörter zu verlieren, die die Sicherheit des Unternehmens gefährden könnten

Orvis wurde in den 1850er Jahren gegründet und gilt als eines der ersten Versandhandelsunternehmen in den USA. Es begann als Fachhändler für Fliegenfischerutensilien, verkauft heute jedoch alle Arten von Kleidungsstücken und Sportartikeln. Das Unternehmen beschäftigt rund 1.700 Mitarbeiter an fast 100 Standorten und ist in Teilen von Amerika und Großbritannien ein Begriff. Jetzt ist es auch dafür bekannt, eine enorme Menge vertraulicher interner Informationen in Pastebin zu veröffentlichen.

Brian Krebs, der Cybersicherheitsjournalist, der den Vorfall zum ersten Mal meldete, beschrieb das Leck als "das mit Abstand extremste Beispiel" für die Datenexposition, die er jemals gesehen hat. Aber wer ist für den Verstoß verantwortlich? Und wie ist es passiert?

Jemand hinterließ versehentlich Unmengen von Orvis-Benutzernamen und -Kennwörtern, die die Welt sehen konnte

Wie Sie sehen, ist Orvis eine relativ große Organisation, und Sie können sich nur vorstellen, auf wie viele verschiedene Drittanbieter-Services sie angewiesen ist. Um diese Dienste von Drittanbietern nutzen zu können, benötigen die Mitarbeiter von Orvis natürlich Anmeldeinformationen. Aus irgendeinem Grund hatte eine einzige Person Zugriff auf alle diese Benutzernamen und Kennwörter. Die besagte Person machte dann den schrecklichen Fehler, sie alle in Pastebin hochzuladen, wo sie für jedermann mit einer Internetverbindung zugänglich waren.

Die Art der exponierten Daten ist so unterschiedlich, dass sich der Kopf drehen kann. Die Datei enthielt Klartext-Benutzernamen und -Kennwörter, die die physische und Online-Sicherheit von Orvis ernsthaft unter Druck setzen können, wenn sie in die falschen Hände geraten.

Von Wi-Fi-Netzwerken über Back-End-Server, Antivirus- und Firewall-Produkte, DNS-Steuerelemente, FTP-, Microsoft 365- und Active Directory-Konten bis hin zu mobilen Zahlungssystemen gab es Anmeldeinformationen. Es gab auch Passwörter für Sicherheitskameras, Batterie-Backup-Systeme, Türsteuerungen sowie Tür- und Alarmcodes. Es gab sogar eine Kombination zu einem Safe, der in einem der Serverräume des Einzelhändlers aufbewahrt wird.

Die Datei wurde zuerst von einem Expertenteam von Hold Security und 4iQ gefunden, das der Ansicht ist, dass das Datenleck höchstwahrscheinlich auf einen ehrlichen Fehler zurückzuführen ist. Wer diesen Fehler begangen hat und warum er Zugriff auf all diese Informationen hatte, ist unbekannt. Am Anfang der Datei befindet sich eine Notation mit der Aufschrift "VT Technical Services", deren Bedeutung zum jetzigen Zeitpunkt jedoch noch unbekannt ist.

Orvis sagt, dass die Dinge nicht so schlimm sind, wie sie scheinen

Es überrascht nicht, dass er Orvis anrief und um einen Kommentar bat, sobald Brian Krebs Wind von dem Leck bekam. Ein Sprecher wies schnell darauf hin, dass die versehentlich durchgesickerte Datei einige alte Passwörter enthielt, die nicht mehr aktiv waren. Neuere Anmeldeinformationen wurden bereits ungültig gemacht, und nach Angaben des Einzelhändlers wurde die freigelegte Datei nur wenige Stunden nach ihrem Online-Erscheinen entfernt.

Die Sicherheitsforscher, die das Leck entdeckt haben, scheinen sich jedoch zu unterscheiden. Sie sagen, dass die Passwortdatei nicht nur einmal, sondern zweimal auf Pastebin gepostet wurde - zuerst am 4. Oktober und später am 22. Oktober.

Als Brian Krebs Orvis aufforderte, diese Ergebnisse zu bestätigen oder abzulehnen, blockierte der Einzelhändler seine E-Mails. Auch wenn die Verantwortlichen für Sicherheit und Öffentlichkeitsarbeit des Onlineshops davon überzeugt sind, dass die Forscher Unrecht haben und die Datei nur für einen begrenzten Zeitraum verfügbar war, ist dies kaum die perfekte Antwort nach einem Vorfall, der zu einer Datenexposition hätte führen können absolut verheerende Folgen für das Geschäft von Orvis.