Orvis admitió haber filtrado contraseñas internas que podrían haber expuesto la seguridad de la empresa

Establecido en la década de 1850, Orvis es considerado como uno de los primeros negocios de pedidos por correo en los Estados Unidos. Comenzó como un minorista especializado en parafernalia de pesca con mosca, pero ahora vende todo tipo de ropa y artículos deportivos. Emplea a unas 1.700 personas en cerca de 100 ubicaciones, y es algo así como un nombre familiar en partes de Estados Unidos y Gran Bretaña. Ahora, también es famoso por exponer una enorme cantidad de información interna confidencial sobre Pastebin.

Brian Krebs, el periodista de ciberseguridad que informó por primera vez el incidente, describió la filtración como "con mucho el ejemplo más extremo" de exposición a datos que haya visto. ¿Pero quién es responsable de la violación? ¿Y cómo sucedió?

Alguien dejó inadvertidamente toneladas de nombres de usuario y contraseñas de Orvis para que el mundo las viera

Como puede ver, Orvis es una organización relativamente grande, y solo puede imaginar cuántos servicios de terceros diferentes depende para operar. Obviamente, para ejecutar estos servicios de terceros, los empleados de Orvis necesitan credenciales de inicio de sesión y, por alguna razón, una sola persona tenía acceso a todos esos nombres de usuario y contraseñas. Dicha persona cometió el terrible error de subirlos a Pastebin, donde eran accesibles para cualquier persona con conexión a Internet.

La naturaleza de los datos expuestos es tan diversa que puede hacer que su cabeza gire. En el archivo se incluyeron nombres de usuario y contraseñas de texto sin formato que pueden poner la seguridad física y en línea de Orvis bajo una seria presión si caen en las manos equivocadas.

Había credenciales de inicio de sesión para cualquier cosa, desde redes Wi-Fi a través de servidores de back-end, productos antivirus y firewall, controles DNS, FTP, Microsoft 365 y cuentas de Active Directory, hasta sistemas de pago móviles. También había contraseñas para cámaras de seguridad, sistemas de batería de respaldo, controladores de puertas, así como códigos de puertas y alarmas. Incluso había una combinación de una caja fuerte que se guarda en una de las salas de servidores del minorista.

El archivo fue encontrado por primera vez por un equipo de expertos que trabajan para Hold Security y 4iQ, quienes piensan que la fuga de datos fue probablemente el resultado de un error honesto. Sin embargo, quién cometió dicho error y por qué tuvieron acceso a toda esa información sigue siendo desconocido. Se puede encontrar una anotación que dice "Servicios técnicos de VT" al principio del archivo, pero en este momento, su significado sigue siendo desconocido.

Orvis dice que las cosas no son tan malas como parecen

Como era de esperar, tan pronto como Brian Krebs se enteró de la fuga, llamó a Orvis y le pidió un comentario. Un portavoz se apresuró a señalar que el archivo filtrado accidentalmente contenía algunas contraseñas antiguas que ya no estaban activas. Las nuevas credenciales ya se han invalidado y, según el minorista, el archivo expuesto se eliminó pocas horas después de que apareciera en línea.

Sin embargo, los investigadores de seguridad que descubrieron la fuga comienzan a diferir. Dicen que el archivo de contraseña se publicó en Pastebin no una vez, sino dos veces: primero el 4 de octubre y luego el 22 de octubre.

Cuando Brian Krebs le pidió a Orvis que confirmara o negara estos hallazgos, el minorista bloqueó sus correos electrónicos. Incluso si las personas responsables de la seguridad y las relaciones públicas de la tienda en línea están convencidas de que los investigadores están equivocados y de que el archivo estuvo accesible por un período limitado de tiempo, esta no es la respuesta perfecta después de un incidente de exposición de datos que podría haber tenido consecuencias absolutamente devastadoras para el negocio de Orvis.