Orvis ha ammesso la perdita di password interne che avrebbero potuto esporre la sicurezza dell'azienda

Orvis Exposed Usernames Passwords

Fondata nel 1850, Orvis è considerata una delle prime attività di vendita per corrispondenza negli Stati Uniti. È iniziato come rivenditore specializzato di articoli per la pesca a mosca, ma ora vende tutti i tipi di abbigliamento e articoli sportivi. Impiega circa 1.700 persone in quasi 100 sedi ed è una sorta di nome familiare in alcune parti dell'America e della Gran Bretagna. Ora è anche famoso per aver esposto un'enorme quantità di informazioni interne sensibili su Pastebin.

Brian Krebs, il giornalista sulla sicurezza informatica che per primo ha segnalato l'incidente, ha descritto la fuga come "di gran lunga l'esempio più estremo" dell'esposizione ai dati che abbia mai visto. Ma chi è responsabile della violazione? E come è successo?

Qualcuno ha lasciato inavvertitamente tonnellate di nomi utente e password di Orvis che il mondo poteva vedere

Come puoi vedere, Orvis è un'organizzazione relativamente grande e puoi solo immaginare quanti diversi servizi di terze parti contano per operare. Ovviamente, per eseguire questi servizi di terze parti, i dipendenti di Orvis hanno bisogno delle credenziali di accesso e, per qualche motivo, una sola persona ha avuto accesso a tutti quei nomi utente e password. La persona ha quindi commesso il terribile errore di caricarli tutti su Pastebin, dove erano accessibili a chiunque avesse una connessione a Internet.

La natura dei dati esposti è così varia che può far girare la testa. Nel file erano inclusi nomi utente e password in chiaro che possono mettere seriamente sotto pressione la sicurezza fisica e online di Orvis se cadono nelle mani sbagliate.

Esistevano credenziali di accesso per qualsiasi cosa, dalle reti Wi-Fi attraverso server back-end, prodotti antivirus e firewall, controlli DNS, FTP, Microsoft 365 e account Active Directory, ai sistemi di pagamento mobili. C'erano anche le password per le telecamere di sicurezza, i sistemi di backup della batteria, i controller delle porte, nonché i codici delle porte e degli allarmi. C'era persino una combinazione con una cassaforte che veniva conservata in una delle sale server del rivenditore.

Il file è stato trovato per la prima volta da un team di esperti che lavorano per Hold Security e 4iQ, i quali ritengono che la perdita di dati sia stata probabilmente il risultato di un errore onesto. Chi ha fatto questo errore, tuttavia, e perché abbiano avuto accesso a tutte quelle informazioni rimane sconosciuto. Una notazione che dice "VT Technical Services" può essere trovata all'inizio del file, ma a questo punto, il suo significato rimane sconosciuto.

Orvis afferma che le cose non vanno male come sembrano

Non sorprende che, non appena Brian Krebs abbia saputo della perdita, ha chiamato Orvis e ha chiesto un commento. Un portavoce ha sottolineato rapidamente che il file trapelato accidentalmente conteneva alcune vecchie password che non erano più attive. Le credenziali più recenti sono già state invalidate e, secondo il rivenditore, il file esposto è stato rimosso poche ore dopo la sua comparsa online.

I ricercatori di sicurezza che hanno scoperto la perdita, tuttavia, chiedono differenze. Dicono che il file delle password sia stato pubblicato su Pastebin non una, ma due volte - prima il 4 ottobre e successivamente il 22 ottobre.

Quando Brian Krebs ha chiesto a Orvis di confermare o smentire questi risultati, il rivenditore ha bloccato le sue e-mail. Anche se le persone responsabili della sicurezza e delle PR del negozio online sono convinte che i ricercatori abbiano torto e che il file sia stato accessibile per un periodo di tempo limitato, questa non è la risposta perfetta a seguito di un incidente di esposizione dei dati che avrebbe potuto avere conseguenze assolutamente devastanti per gli affari di Orvis.

November 12, 2019
Caricamento in corso...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.