Orvis har innrømmet å lekker interne passord som kunne ha utsatt selskapets sikkerhet

Orvis ble opprettet på 1850-tallet, og regnes for å være en av de første postordrevirksomhetene i USA. Det startet som en spesialisert forhandler for fluefiskeutstyr, men den selger nå alle slags klær og sportsvarer. Det sysselsetter rundt 1700 personer på nærmere 100 steder, og det er noe av et husholdningsnavn i deler av Amerika og Storbritannia. Nå er det også kjent for å ha utsatt en enorm mengde sensitiv intern informasjon om Pastebin.

Brian Krebs, cybersecurity-journalisten som først rapporterte om hendelsen, beskrev lekkasjen som "det desidert mest ekstreme eksempel" på dataeksponering han noensinne har sett. Men hvem er ansvarlig for bruddet? Og hvordan skjedde det?

Noen la uforvarende tonn Orvis brukernavn og passord for verden å se

Som du ser er Orvis en relativt stor organisasjon, og du kan bare forestille deg hvor mange forskjellige tredjeparts tjenester den er avhengig av for å drifte. For å drive disse tredjeparts-tjenestene trenger Orvis-ansatte selvfølgelig innloggingsinformasjon, og av en eller annen grunn hadde en enkelt person tilgang til alle disse brukernavnene og passordene. Den nevnte personen gjorde da den forferdelige feilen ved å laste opp alle til Pastebin, der de var tilgjengelige for alle med internettforbindelse.

Naturen til de utsatte dataene er så mangfoldig, det kan få hodet til å snurre. Inkludert i filen var brukernavn og passord for ren tekst som kan sette Orvis 'fysiske og online sikkerhet under alvorlig press hvis de faller i gale hender.

Det var innloggingsinformasjon for alt fra Wi-Fi-nettverk via backend-servere, antivirus- og brannmurprodukter, DNS-kontroller, FTP, Microsoft 365 og Active Directory-kontoer, til mobile betalingssystemer. Det var også passord for sikkerhetskameraer, batteribackup-systemer, dørkontrollere, samt dør- og alarmkoder. Det var til og med en kombinasjon til en safe som oppbevares i et av forhandlerens serverrom.

Filen ble først funnet av et team av eksperter som jobber for Hold Security og 4iQ, som tror at datalekkasjen mest sannsynlig var et resultat av en ærlig feil. Hvem som gjorde den nevnte feilen, derimot, og hvorfor de hadde tilgang til all den informasjonen er fremdeles ukjent. Du finner en notasjon som sier "VT Technical Services" i begynnelsen av filen, men på dette tidspunktet er betydningen ukjent.

Orvis sier at ting ikke er så ille som de ser ut til

Så overraskende nok, så snart Brian Krebs fikk vind av lekkasjen, ringte han Orvis og ba om en kommentar. En talsperson var rask med å påpeke at filen ved et uhell lekket inneholdt ganske mange gamle passord som ikke lenger var aktive. Nyere legitimasjon er allerede ugyldig, og ifølge forhandleren ble den utsatte filen tatt ned bare timer etter at den ble vist på nettet.

Sikkerhetsforskerne som oppdaget lekkasjen, var imidlertid forskjellige. De sier at passordfilen ble lagt ut på Pastebin ikke en gang, men to ganger - først 4. oktober og senere 22. oktober.

Da Brian Krebs ba Orvis om å bekrefte eller avkrefte disse funnene, blokkerte forhandleren e-postene hans. Selv om personene som er ansvarlige for nettbutikkens sikkerhet og PR er overbevist om at forskerne tar feil, og at filen var tilgjengelig i en begrenset periode, er dette neppe den perfekte responsen i kjølvannet av en dataeksponeringshendelse som kunne ha hatt absolutt ødeleggende konsekvenser for Orvis 'virksomhet.