Ο Orvis έχει παραδεχθεί ότι διαρρέει εσωτερικούς κωδικούς πρόσβασης που θα μπορούσαν να εκθέσουν την ασφάλεια της εταιρείας

Η Orvis, που ιδρύθηκε τη δεκαετία του 1850, θεωρείται μία από τις πρώτες επιχειρήσεις ταχυδρομικών παραγγελιών στις ΗΠΑ. Ξεκίνησε ως εξειδικευμένος λιανοπωλητής για τα είδη αλιείας μύγας, αλλά τώρα πουλάει όλα τα είδη ρούχων και αθλητικών ειδών. Απασχολεί περίπου 1.700 άτομα σε περίπου 100 τοποθεσίες, και είναι κάτι οικιακό όνομα σε μέρη της Αμερικής και της Βρετανίας. Τώρα, είναι επίσης διάσημο για την έκθεση τεράστιου όγκου ευαίσθητων εσωτερικών πληροφοριών σχετικά με το Pastebin.

Ο Brian Krebs, δημοσιογράφος για την ασφάλεια του κυβερνοχώρου που ανέφερε για πρώτη φορά το περιστατικό, χαρακτήρισε τη διαρροή ως "το πιο ακραίο παράδειγμα" της έκθεσης που έχει δει ποτέ. Αλλά ποιος είναι υπεύθυνος για την παραβίαση; Και πώς συνέβη αυτό;

Κάποιος ακούσια άφησε τους τόνους των ορνισμένων χρηστών και κωδικών πρόσβασης για τον κόσμο να δει

Όπως βλέπετε, ο Orvis είναι ένας σχετικά μεγάλος οργανισμός και μπορείτε μόνο να φανταστείτε πόσες διαφορετικές υπηρεσίες τρίτων εξαρτάται από τη λειτουργία του. Προφανώς, για να εκτελέσετε αυτές τις υπηρεσίες τρίτων, οι υπάλληλοι της Orvis χρειάζονται τα διαπιστευτήρια σύνδεσης και, για κάποιο λόγο, ένα μόνο άτομο είχε πρόσβαση σε όλα αυτά τα ονόματα χρήστη και τους κωδικούς πρόσβασης. Το εν λόγω άτομο έκανε το τρομερό λάθος να φορτώσει όλα αυτά στο Pastebin, όπου ήταν προσβάσιμα σε οποιονδήποτε με σύνδεση στο διαδίκτυο.

Η φύση των εκτεθειμένων δεδομένων είναι τόσο διαφορετική, μπορεί να κάνει το κεφάλι σου να γυρίζει. Στο αρχείο συμπεριλήφθηκαν ονόματα χρηστών και κωδικοί πρόσβασης που μπορούν να βάλουν την φυσική και online ασφάλεια του Orvis υπό σοβαρή πίεση αν πέσουν σε λάθος χέρια.

Υπήρχαν διαπιστευτήρια σύνδεσης για οτιδήποτε από δίκτυα Wi-Fi μέσω διακομιστών backend, προϊόντων προστασίας από ιούς και τείχους προστασίας, ελέγχων DNS, FTP, Microsoft 365 και λογαριασμών Active Directory σε συστήματα κινητής τηλεφωνίας. Υπήρχαν επίσης κωδικοί πρόσβασης για κάμερες ασφαλείας, συστήματα εφεδρικής μπαταρίας, ελεγκτές θυρών, καθώς και κωδικούς θυρών και συναγερμών. Υπήρχε ακόμη ένας συνδυασμός σε ένα χρηματοκιβώτιο που κρατείται σε ένα από τα δωμάτια εξυπηρετητών του λιανοπωλητή.

Το αρχείο βρέθηκε για πρώτη φορά από μια ομάδα εμπειρογνωμόνων που εργάζονται για την Hold Security και την 4iQ, οι οποίοι πιστεύουν ότι η διαρροή δεδομένων είναι πιθανότατα αποτέλεσμα ενός τίμια λάθους. Ωστόσο, ποιος έκανε το εν λόγω λάθος και γιατί είχαν πρόσβαση σε όλες αυτές τις πληροφορίες παραμένει άγνωστη. Ένας συμβολισμός λέγοντας "VT Τεχνικές Υπηρεσίες" μπορεί να βρεθεί στην αρχή του φακέλου, αλλά σε αυτό το σημείο, το νόημά του παραμένει άγνωστο.

Ο Orvis λέει ότι τα πράγματα δεν είναι τόσο κακά όσο φαίνονται

Δεν εκπλήσσει το γεγονός ότι, μόλις ο Brian Krebs χτύπησε τη διαρροή, κάλεσε τον Orvis και ζήτησε ένα σχόλιο. Ένας εκπρόσωπος έσπευσε γρήγορα να επισημάνει ότι το αρχείο που διαρρήχθηκε κατά λάθος περιείχε αρκετούς παλιούς κωδικούς πρόσβασης που δεν ήταν πλέον ενεργοί. Τα νεότερα διαπιστευτήρια έχουν ήδη ακυρωθεί και, σύμφωνα με τον έμπορο λιανικής πώλησης, το εκτεθειμένο αρχείο καταρρίφθηκε μόλις λίγες ώρες μετά την εμφάνισή του στο διαδίκτυο.

Οι ερευνητές της ασφάλειας που ανακάλυψαν τη διαρροή ζητούν να διαφέρουν. Λένε ότι το αρχείο κωδικών πρόσβασης δημοσιεύτηκε στο Pastebin όχι μία φορά, αλλά δύο φορές - πρώτα στις 4 Οκτωβρίου, και αργότερα, στις 22 Οκτωβρίου.

Όταν ο Brian Krebs ζήτησε από τον Orvis να επιβεβαιώσει ή να αρνηθεί αυτά τα ευρήματα, ο έμπορος λιανικής πώλησης μπλοκάρει τα μηνύματά του. Ακόμα κι αν οι υπεύθυνοι για την ασφάλεια του ηλεκτρονικού καταστήματος και του PR είναι πεπεισμένοι ότι οι ερευνητές είναι λάθος και ότι ο φάκελος ήταν προσβάσιμος για περιορισμένο χρονικό διάστημα, αυτή είναι σχεδόν η τέλεια απάντηση μετά από ένα περιστατικό έκθεσης δεδομένων που θα μπορούσε να είχε απολύτως καταστροφικές συνέπειες για τις επιχειρήσεις του Orvis.