Az Orvis beismerte, hogy kiszivárogtat a belső jelszavakat, amelyek felfedhetik a vállalat biztonságát

Orvis Exposed Usernames Passwords

Az 1850-es években alapított Orvis az Egyesült Államok egyik első kézbesítési üzlete. Kezdetben a repülési horgászathoz kapcsolódó speciális kiskereskedőként kezdte meg tevékenységét, ám most már mindenféle ruhát és sportárut értékesít. Körülbelül 100 helyszínen körülbelül 1700 embert foglalkoztat, és Amerika és Nagy-Britannia egyes részein ez háztartási név. Most az is híres, hogy hatalmas mennyiségű érzékeny belső információt tár fel a Pastebin-re.

Brian Krebs, a kiberbiztonsági újságíró, aki elsőként jelentette be az eseményt, a szivárgást az adatok expozíciójának "messze legszélsőségesebb példája "ként írta le, amelyet valaha látott. De ki a felelős a jogsértésért? És hogy történt?

Valaki véletlenül rengeteg Orvis felhasználónevet és jelszót hagyott a világ számára

Mint láthatja, az Orvis viszonylag nagy szervezet, és csak el tudja képzelni, hogy hány különféle szolgáltatásra támaszkodik a működésére. Nyilvánvaló, hogy ezen harmadik fél által nyújtott szolgáltatások futtatásához az Orvis alkalmazottainak bejelentkezési hitelesítő adatokra van szükségük, és valamilyen okból egyetlen személynek volt hozzáférése az összes felhasználónévhez és jelszóhoz. Az említett személy ezután szörnyű hibát követett el, amikor feltöltötte mindegyikét Pastebinbe, ahol bárki számára elérhetőek voltak internet-kapcsolatok.

A feltárt adatok természete annyira változatos, hogy a fejed forogni tud. A fájl tartalmazta a sima szöveges felhasználóneveket és jelszavakat, amelyek súlyos nyomást gyakorolhatnak az Orvis fizikai és online biztonságára, ha rossz kezekbe kerülnek.

Bejelentkezési hitelesítő adatok voltak a Wi-Fi hálózatoktól a háttérkiszolgálókon, antivírus- és tűzfaltermékeken, DNS-vezérlőkon, FTP, Microsoft 365 és Active Directory-fiókokon keresztül egészen a mobil fizetési rendszerekig. Voltak jelszavak a biztonsági kamerákhoz, az akkumulátor tartalék rendszerekhez, az ajtóvezérlőkhöz, valamint az ajtó- és riasztási kódokhoz. Még egy kombináció is volt egy széfhez, amelyet az egyik kereskedő szerverhelyiségében tartanak.

A fájlt először a Hold Security és a 4iQ számára dolgozó szakértői csoport találta meg, akik szerint az adatok szivárgása valószínűleg egy becsületes hiba következménye. Azonban ki ismerte az említett hibát, és miért tudtak hozzáférni az összes információhoz, továbbra sem ismert. A „VT Technical Services” felirat található a fájl elején, ám jelentése jelenleg ismeretlen.

Orvis szerint a dolgok nem olyan rosszak, mint amilyennek látszanak

Nem meglepő, hogy amint Brian Krebs megszerezte a szivárgást, felhívta Orvis-t és megkérdezte a hozzászólást. A szóvivő gyorsan rámutatott, hogy a véletlenül kiszivárgott fájl sok régi jelszót tartalmazott, amelyek már nem voltak aktívak. Az újabb hitelesítő adatokat már érvénytelenítették, és a kereskedő szerint a feltárt fájlt csupán néhány órával azután tették közzé, hogy az interneten megjelenik.

A szivárgást felfedező biztonsági kutatók azonban különböznek egymástól. Azt mondják, hogy a jelszófájlt nem egyszer, hanem kétszer tették a Pastebinbe - először október 4-én, később október 22-én.

Amikor Brian Krebs felkérte az Orvist ezen megállapítások megerősítésére vagy tagadására, a kereskedő blokkolta e-maileit. Még ha az online üzlet biztonságáért és a PR-ért felelős emberek is meg vannak győződve arról, hogy a kutatók tévesek, és hogy az irat korlátozott ideig volt hozzáférhető, ez alig kínál tökéletes választ egy olyan adat-expozíciós esemény következményeként, amely lehetett volna teljesen pusztító következményekkel jár az Orvis vállalkozása számára.

November 12, 2019
Betöltés...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.