Orvis a admis avoir découvert des mots de passe internes qui auraient pu révéler la sécurité de la société

Orvis Exposed Usernames Passwords

Fondée dans les années 1850, Orvis est considérée comme l'une des premières entreprises de vente par correspondance aux États-Unis. A ses débuts en tant que détaillant spécialisé dans les accessoires de pêche à la mouche, il vend maintenant toutes sortes de vêtements et d’articles de sport. Il emploie environ 1 700 personnes dans près de 100 sites. C'est un nom bien connu dans certaines régions d'Amérique et de Grande-Bretagne. Maintenant, il est également célèbre pour avoir exposé une quantité énorme d'informations internes sensibles sur Pastebin.

Brian Krebs, le journaliste en matière de cybersécurité qui a rapporté l'incident pour la première fois, a décrit la fuite comme "de loin l'exemple le plus extrême" de la divulgation de données qu'il ait jamais vue. Mais qui est responsable de la brèche? Et comment est-ce arrivé?

Quelqu'un a laissé par inadvertance des tonnes de noms d'utilisateur et de mots de passe Orvis au monde entier

Comme vous pouvez le constater, Orvis est une organisation relativement grande et vous ne pouvez imaginer combien de services tiers différents elle exploite. De toute évidence, pour exécuter ces services tiers, les employés d’Orvis ont besoin d’identifiants de connexion. Pour une raison quelconque, une seule personne avait accès à tous ces noms d’utilisateur et mots de passe. Ladite personne a ensuite commis la terrible erreur de les télécharger toutes sur Pastebin, où elles étaient accessibles à toute personne disposant d’une connexion Internet.

La nature des données exposées est si diverse qu'elle peut vous faire tourner la tête. Le nom du fichier comprenait des noms d’utilisateur et des mots de passe en texte clair susceptibles de mettre la sécurité physique et en ligne d’Orvis sous une pression sérieuse s’ils tombaient entre de mauvaises mains.

Des identifiants de connexion étaient disponibles pour tous les systèmes, depuis les réseaux Wi-Fi aux serveurs dorsaux, aux produits antivirus et pare-feu, aux contrôles DNS, aux comptes FTP, Microsoft 365 et Active Directory, aux systèmes de paiement mobiles. Il y avait aussi des mots de passe pour les caméras de sécurité, les systèmes de batterie de secours, les contrôleurs de porte, ainsi que les codes de porte et d'alarme. Il y avait même une combinaison de coffre-fort dans l'une des salles de serveurs du détaillant.

Le fichier a été découvert pour la première fois par une équipe d'experts travaillant pour Hold Security et 4iQ, qui pensaient que la fuite de données résultait très probablement d'une erreur honnête. Qui a fait la dite erreur, cependant, et pourquoi ils ont eu accès à toute cette information reste inconnue. Une mention "Services techniques VT" peut être trouvée au début du fichier, mais à ce stade, sa signification reste inconnue.

Orvis dit que les choses ne sont pas aussi mauvaises qu'elles en ont l'air

Sans surprise, dès que Brian Krebs a eu vent de la fuite, il a appelé Orvis et lui a demandé de commenter. Un porte-parole n'a pas tardé à faire remarquer que le fichier accidentellement divulgué contenait plusieurs anciens mots de passe qui n'étaient plus actifs. Les informations d'identification les plus récentes ont déjà été invalidées et, selon le détaillant, le fichier exposé a été retiré quelques heures seulement après sa mise en ligne.

Les chercheurs en sécurité qui ont découvert la fuite ne sont pas du même avis. Ils disent que le fichier de mots de passe a été publié sur Pastebin non pas une fois mais deux fois, le 4 octobre et le 22 octobre.

Lorsque Brian Krebs a demandé à Orvis de confirmer ou d'infirmer ces résultats, le détaillant a bloqué ses courriels. Même si les responsables de la sécurité et des relations publiques de la boutique en ligne sont convaincus que les chercheurs ont tort et que le fichier était accessible pendant une période limitée, il ne s'agit pas de la réponse parfaite au lendemain d'un incident lié à l'exposition aux données des conséquences absolument dévastatrices pour les affaires d'Orvis.

Par Duran
November 12, 2019
News
Français
November 12, 2019
News

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 4 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pinaview est une application publicitaire complète

Il y a 10 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.