„Orvis“ pripažino praleidžiančius vidinius slaptažodžius, kurie galėjo parodyti įmonės saugumą

Įkurta 1850-aisiais, „Orvis“ laikoma viena pirmųjų užsakymų paštu įmonėmis JAV. Ji pradėjo veikti kaip specializuota mažmeninės prekybos žvejybos reikmenimis mažmenininkė, tačiau dabar prekiauja visų rūšių drabužiais ir sporto prekėmis. Jame dirba apie 1700 žmonių beveik 100 vietų, ir tai yra kažkas panašaus į namų ūkį Amerikos ir Britanijos dalyse. Dabar jis taip pat garsėja tuo, kad apie Pastebiną atskleidžia nepaprastai daug slaptos vidinės informacijos.

Kibernetinio saugumo žurnalistas Brianas Krebsas, pirmą kartą pranešęs apie incidentą, nutekėjimą apibūdino kaip „kol kas kraštutiniausią pavyzdį“, kurį jis kada nors yra matęs. Bet kas atsakingas už pažeidimą? O kaip tai atsitiko?

Kažkas netyčia paliko daugybę „Orvis“ naudotojų vardų ir slaptažodžių, kad matytų pasaulį

Kaip matote, „Orvis“ yra palyginti didelė organizacija, ir jūs tik galite įsivaizduoti, kiek skirtingų trečiųjų šalių paslaugų ji naudojasi. Akivaizdu, kad norėdami vykdyti šias trečiųjų šalių paslaugas „Orvis“ darbuotojams reikia prisijungimo duomenų ir dėl tam tikrų priežasčių vienas asmuo turėjo prieigą prie visų tų vartotojo vardų ir slaptažodžių. Tada minėtas asmuo padarė siaubingą klaidą, įkeldamas juos visus į Pastebiną, kur jie buvo prieinami visiems, turintiems interneto ryšį.

Pateiktų duomenų pobūdis yra toks įvairus, dėl to jūsų galva gali suktis. Į failą buvo įtraukti paprasto teksto vartotojo vardai ir slaptažodžiai, kurie gali pakenkti „Orvis“ fizinei ir internetinei saugai, jei jie patenka į netinkamas rankas.

Buvo prisijungimo kredencialai viskam, pradedant nuo „Wi-Fi“ tinklų per užpakalinius serverius, antivirusinius ir užkardos produktus, DNS valdiklius, FTP, „Microsoft 365“ ir „Active Directory“ abonementus iki mobiliųjų mokėjimo sistemų. Taip pat buvo apsaugos kamerų, akumuliatorių atsarginių sistemų, durų valdiklių slaptažodžiai, taip pat durų ir aliarmo kodai. Buvo netgi seifo, kuris laikomas viename iš mažmenininko serverių kambarių, derinys.

Pirmiausia bylą rado „Hold Security“ ir „4iQ“ specialistų komanda, kurie mano, kad duomenų nutekėjimas greičiausiai įvyko dėl sąžiningos klaidos. Tačiau kas padarė minėtą klaidą ir kodėl jie turėjo prieigą prie visos šios informacijos, lieka nežinoma. Pažymėjimą „VT techninės paslaugos“ galima rasti bylos pradžioje, tačiau šiuo metu jo reikšmė išlieka nežinoma.

Orvisas sako, kad viskas nėra taip blogai, kaip atrodo

Nenuostabu, kad vos tik Brianui Krebsui nutekėjo vėjas, jis paskambino Orvisui ir paprašė pakomentuoti. Pašnekovas greitai atkreipė dėmesį, kad netyčia nutekėjusiame faile yra nemažai senų slaptažodžių, kurie nebeveikia. Naujesni dokumentai jau buvo pripažinti negaliojančiais ir, pasak mažmenininko, paviešinta byla buvo nuimta praėjus kelioms valandoms nuo jos pasirodymo internete.

Tačiau nutekėjimą atradę saugumo tyrinėtojai prašo skirtis. Jie sako, kad slaptažodžio failas „Pastebin“ buvo paskelbtas ne kartą, o du kartus - pirmiausia spalio 4 d., Vėliau - spalio 22 d.

Kai Brianas Krebsas paprašė „Orvis“ patvirtinti ar paneigti šias išvadas, mažmenininkas blokavo jo el. Laiškus. Net jei žmonės, atsakingi už internetinės parduotuvės saugumą ir PR, įsitikinę, kad tyrėjai klysta ir kad byla buvo prieinama ribotą laiką, tai vargu ar yra tobulas atsakas įvykus duomenų ekspozicijai, kuri galėjo atsirasti visiškai niokojančių padarinių „Orvis“ verslui.