Orvis heeft toegegeven dat hij interne wachtwoorden heeft gelekt die de beveiliging van het bedrijf hadden kunnen blootleggen

Orvis Exposed Usernames Passwords

Orvis, opgericht in 1850, wordt beschouwd als een van de eerste postorderbedrijven in de VS. Het begon als een gespecialiseerde retailer voor vliegvisartikelen, maar het verkoopt nu allerlei soorten kleding en sportartikelen. Er werken ongeveer 1.700 mensen op bijna 100 locaties en het is een begrip in delen van Amerika en Groot-Brittannië. Nu is het ook beroemd om het blootleggen van een enorme hoeveelheid gevoelige interne informatie over Pastebin.

Brian Krebs, de cyberveiligheidsjournalist die het incident voor het eerst meldde, beschreef het lek als "verreweg het meest extreme voorbeeld" van gegevensblootstelling die hij ooit heeft gezien. Maar wie is verantwoordelijk voor de inbreuk? En hoe is het gebeurd?

Iemand heeft per ongeluk tonnen Orvis-gebruikersnamen en wachtwoorden achtergelaten voor de hele wereld

Zoals u kunt zien, is Orvis een relatief grote organisatie en kunt u zich alleen maar voorstellen hoeveel verschillende services van derden het bedrijf nodig heeft. Het is duidelijk dat voor het uitvoeren van deze services van derden Orvis-medewerkers inloggegevens nodig hebben en om de een of andere reden had één persoon toegang tot al die gebruikersnamen en wachtwoorden. De genoemde persoon maakte vervolgens de vreselijke fout door ze allemaal te uploaden naar Pastebin, waar ze toegankelijk waren voor iedereen met een internetverbinding.

De aard van de blootgestelde gegevens is zo divers dat het je hoofd kan doen draaien. Het bestand bevatte gewone gebruikersnamen en wachtwoorden die de fysieke en online beveiliging van Orvis ernstig onder druk kunnen zetten als ze in verkeerde handen vallen.

Er waren inloggegevens voor alles, van Wi-Fi-netwerken via back-endservers, antivirus- en firewallproducten, DNS-besturingselementen, FTP-, Microsoft 365- en Active Directory-accounts tot mobiele betalingssystemen. Er waren ook wachtwoorden voor beveiligingscamera's, back-upsystemen voor batterijen, deurcontrollers, evenals deur- en alarmcodes. Er was zelfs een combinatie met een kluis die in een van de serverruimtes van de winkel wordt bewaard.

Het bestand werd voor het eerst gevonden door een team van experts die werken voor Hold Security en 4iQ, die denken dat het datalek waarschijnlijk het gevolg was van een eerlijke fout. Wie de genoemde fout echter heeft gemaakt en waarom ze toegang hadden tot al die informatie, is onbekend. Een aantekening met de vermelding "VT Technical Services" is te vinden aan het begin van het bestand, maar op dit moment blijft de betekenis onbekend.

Orvis zegt dat dingen niet zo erg zijn als ze lijken

Zoals te verwachten, zodra Brian Krebs lucht van het lek kreeg, belde hij Orvis en vroeg om een opmerking. Een woordvoerder wees er snel op dat het per ongeluk gelekte bestand nogal wat oude wachtwoorden bevatte die niet meer actief waren. Nieuwere inloggegevens zijn al ongeldig en volgens de detailhandelaar is het zichtbare bestand enkele uren nadat het online verscheen, verwijderd.

De beveiligingsonderzoekers die het lek ontdekten, verschillen echter van mening. Ze zeggen dat het wachtwoordbestand niet één keer, maar twee keer op Pastebin is gepost - eerst op 4 oktober en later op 22 oktober.

Toen Brian Krebs Orvis vroeg om deze bevindingen te bevestigen of te ontkennen, blokkeerde de detailhandelaar zijn e-mails. Zelfs als de mensen die verantwoordelijk zijn voor de beveiliging en PR van de online shop ervan overtuigd zijn dat de onderzoekers ongelijk hebben en dat het bestand voor een beperkte periode toegankelijk was, is dit nauwelijks de perfecte reactie in de nasleep van een incident met gegevensblootstelling dat had kunnen hebben absoluut verwoestende gevolgen voor het bedrijf van Orvis.

November 12, 2019
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.