Keepnet Labs conferma che sono stati esposti 5 miliardi di indirizzi e-mail e password raccolti da violazioni di dati precedenti

Un database con cinque miliardi di record pieni di nomi utente e password è stato esposto a Internet e non era protetto da alcuna forma di autenticazione. Com'era prevedibile, l'incidente ha attirato più di qualche titolo, soprattutto negli ultimi giorni, ma sfortunatamente lo ha fatto per tutte le ragioni sbagliate.

Il vulnerabile database Elasticsearch è stato scoperto dal ricercatore di sicurezza Bob Diachenko, che è stato sorpreso non solo dalle dimensioni del database, ma anche dal modo in cui le informazioni al suo interno sono strutturate. Una breve indagine ha collegato i dati esposti a una società di sicurezza informatica con sede nel Regno Unito chiamata Keepnet Labs, che ha pubblicato una dichiarazione la scorsa settimana nel tentativo di chiarire cosa è andato storto e perché.

Sembra peggio di quello che è

Una delle principali enfasi dell'affermazione della società di sicurezza è che il database non contiene dati dei clienti di Keepnet Labs. Keepnet Labs è una società di intelligence sulle minacce che raccoglie le credenziali di accesso trapelate durante le violazioni dei dati e, se trova i dettagli di alcuni dei suoi clienti, li notifica e li avvisa su quali azioni devono intraprendere.

Il database Elasticsearch era pieno di nomi utente e password trapelati durante vari incidenti di sicurezza informatica verificatisi tra il 2012 e il 2019. Oltre alle credenziali di accesso, ogni record conteneva l'origine della perdita, l'anno della violazione e il metodo di archiviazione della password.

Secondo la dichiarazione, Keepnet Labs ha utilizzato il database per fornire il suo servizio di intelligence delle minacce, ma non era responsabile della sua manutenzione. Questo era il lavoro di un appaltatore che lavorava con la società di sicurezza dal febbraio 2018. Durante l'esecuzione della manutenzione programmata, un dipendente di detto appaltatore ha spento brevemente il firewall per accelerare il processo e inavvertitamente esposto i dati. Dopo circa dieci minuti, il firewall è stato riacceso, ma a quel punto il database era già stato indicizzato da BinaryEdge, motivo per cui Diachenko è riuscito a trovarlo.

In una parola, la perdita non era così grave come all'inizio. Tutti i nomi utente e le password erano stati trapelati prima dell'incidente, e sebbene fossero disponibili in un unico database ben strutturato, scaricarne una parte significativa mentre era ancora esposto era praticamente impossibile, secondo Keepnet. La società afferma di aver appreso le sue lezioni e di aver preso precauzioni per garantire che ciò non accada di nuovo. Sfortunatamente, nell'immediato dopo l'incidente, Keepnet Labs ha preso un'altra serie di precauzioni che non lo hanno messo alla luce migliore.

La divulgazione non è stata esattamente fluida

Bob Diachenko ha fatto la scoperta a marzo, e dopo aver pubblicato il suo rapporto, più di alcuni negozi di notizie e blog sulla sicurezza informatica hanno coperto la fuga. Keepnet Labs ha ritenuto che molti di loro abbiano rilasciato dichiarazioni fuorvianti durante la loro copertura, motivo per cui alcuni giornalisti sono stati contattati e sono stati invitati a modificare i loro articoli.

Anche il popolare blogger di sicurezza Graham Cluley ha ricevuto un'email da Keepnet, e sebbene non pensasse che la sua rappresentazione dei fatti fosse in qualche modo sbagliata, era più che disposto a dare alla compagnia di sicurezza la possibilità di raccontare il suo lato della storia. Invece di una dichiarazione ufficiale o la possibilità di parlare con un portavoce, tuttavia, ha ricevuto un'e-mail dagli avvocati di Keepnet che gli dicevano che se non avesse rivisto il suo articolo e rimosso il nome della società, avrebbe dovuto affrontare azioni legali contro lui.

Non c'è assolutamente nulla di sbagliato nel mantenere la reputazione di Keepnet Labs se si ritiene che sia stato danneggiato da una cattiva segnalazione. Per quasi tre mesi interi, tuttavia, la società non ha rilasciato una dichiarazione ufficiale per stabilire il record e si è rifiutata di lavorare con i giornalisti per presentare tutti i fatti in modo accurato. Ciò potrebbe avere un impatto ancora maggiore sulla reputazione di Keepnet rispetto alla presunta falsa dichiarazione dei fatti su alcuni siti Web.