Orvisは、会社のセキュリティをさらす可能性のある内部パスワードの漏洩を認めました

1850年代に設立されたOrvisは、米国で最初の通信販売企業の1つと見なされています。フライフィッシング用品の専門小売店としてスタートしましたが、今ではあらゆる種類の服やスポーツ用品を販売しています。 100近くの場所で約1,700人の従業員を雇用しており、アメリカとイギリスの一部では一流の名前です。現在、Pastebinに大量の機密内部情報を公開していることでも有名です。

この事件を最初に報告したサイバーセキュリティジャーナリストのブライアンクレブス氏は、これまでに見たデータ漏洩の「はるかに極端な例」としてリークを説明しました。しかし、違反の責任者は誰ですか？そして、それはどのように起こったのですか？

誰かがうっかりオービスのユーザー名とパスワードを大量に残して、世界中に公開した

ご覧のとおり、Orvisは比較的大規模な組織であり、運営に依存しているサードパーティサービスの数だけが想像できます。明らかに、これらのサードパーティサービスを実行するには、Orvisの従業員がログイン資格情報を必要とし、何らかの理由で、1人のユーザーがこれらのユーザー名とパスワードのすべてにアクセスできました。その人は、それらをすべてPastebinにアップロードするというひどい間違いを犯しました。Pastebinでは、インターネットに接続している人なら誰でもアクセスできました。

公開されるデータの性質は非常に多様であるため、頭を回転させる可能性があります。ファイルに含まれていたのは、Orvisの物理的およびオンラインのセキュリティが間違った手に渡った場合に深刻な圧力にさらされる可能性があるプレーンテキストのユーザー名とパスワードです。

Wi-Fiネットワークから、バックエンドサーバー、ウイルス対策製品、ファイアウォール製品、DNSコントロール、FTP、Microsoft 365、Active Directoryアカウント、モバイル決済システムまで、あらゆるものに対するログイン資格情報がありました。また、防犯カメラ、バッテリーバックアップシステム、ドアコントローラー、およびドアとアラームコードのパスワードがありました。小売業者のサーバールームの1つに保管されている金庫との組み合わせもありました。

このファイルは、Hold Securityと4iQで働いている専門家のチームによって最初に発見されました。彼らは、データリークは正直な間違いの結果である可能性が高いと考えています。しかし、誰が上記の間違いを犯したのか、そしてなぜ彼らがすべての情報にアクセスできるのかは不明のままです。 「VT Technical Services」という表記はファイルの先頭にありますが、現時点ではその意味は不明です。

オービスは、物事は見た目ほど悪くはないと言っています

当然のことながら、ブライアンクレブスがリークの風をつかんだとたんに、彼はオービスに電話してコメントを求めました。広報担当者は、誤って漏えいしたファイルに、アクティブではなくなった古いパスワードがかなり含まれていることをすぐに指摘しました。新しいクレデンシャルはすでに無効化されており、小売業者によると、公開されたファイルはオンラインで表示されてから数時間で削除されました。

ただし、リークを発見したセキュリティ研究者は異なることを請う。パスワードファイルはPastebinに1回ではなく2回投稿されました。最初は10月4日、その後は10月22日です。

ブライアンクレブスがオービスにこれらの調査結果を確認または拒否するように依頼すると、小売業者はメールをブロックしました。オンラインショップのセキュリティとPRの責任者が、研究者が間違っていて、ファイルが限られた期間アクセス可能であったと確信していても、これはデータ暴露事件の後の完全な対応ではありませんオルビスのビジネスにとって絶対に壊滅的な結果。