Dane klientów zostały ujawnione nieznanym stronom w wyniku wycieku danych DigitalOcean
Historycznie nauczyliśmy się kojarzyć przypadki naruszenia bezpieczeństwa danych z cyberprzestępcami, którzy wykorzystują sprytne techniki, aby włamać się do obrony organizacji docelowych i kraść dane osobowe użytkowników. Chociaż prawdą jest, że hakerzy narażają na szwank usługi online o różnych kształtach i rozmiarach, w dzisiejszych czasach ujawnianie danych jest najczęściej wynikiem błędów popełnianych przez samych dostawców usług.
Badacze bezpieczeństwa znajdują niezabezpieczone serwery i przypadkowo odsłonięte bazy danych, które zawierają terabajty prywatnych informacji każdego dnia, i nieustannie namawiają firmy do zaostrzenia procedur przechowywania danych. Niestety nadal występują przecieki, a to przynajmniej częściowo dlatego, że ludzie często nie doceniają tych zdarzeń. Często, gdy eksperci znajdują ujawnioną bazę danych, nie mają możliwości stwierdzenia, czy strona trzecia zdołała uzyskać dostęp do danych przed nimi, a ponieważ usługodawcy zwykle nie zauważają żadnych złośliwych działań w bezpośrednim następstwie, ludzie zakładają, że wyciek jest nieistotny. DigitalOcean, jeden z największych na świecie dostawców hostingu, ujawnił ostatnio niektóre dane klientów i pokazał, jak niebezpieczna może być ta mentalność bez szkody.
DigitalOcean udostępnia dokument pełen danych użytkownika
W zeszłym tygodniu DigitalOcean zaczął informować niektórych swoich klientów o wycieku danych. Najwyraźniej pracownik przypadkowo udostępnił dokument wewnętrzny za pośrednictwem publicznego łącza. Ujawnione dane obejmują adresy e-mail i nazwy kont, a także szczegółowe informacje dotyczące konta, takie jak wykorzystanie przepustowości, liczba kropel i uwagi dotyczące pomocy technicznej. Ujawniono również kwoty, na które wpłynęli użytkownicy płacący za usługi hostingowe w 2018 r., Chociaż firma była przekonana, że nie wpłynęło to na informacje finansowe osób.
Powiadomienie o naruszeniu nigdy nie zostało przekształcone w oficjalne oświadczenie lub komunikat prasowy, i prawdopodobnie możesz zobaczyć, dlaczego. Dokument tak naprawdę nie zawiera żadnych szczególnie wrażliwych informacji, a poza adresami e-mail i nazwami kont hakerzy nie mogą się przydać. Co więcej, gdy media, takie jak ZDNet, odebrały wiadomości, rzecznik DigitalOcean powiedział, że dotyczy to tylko około 1% klientów firmy. Innymi słowy, wyciek nie wydaje się szczególnie godny uwagi. Z edukacyjnego punktu widzenia może być jednak niezwykle przydatne, szczególnie dla osób, które często nie doceniają niebezpieczeństw związanych z tego rodzaju przeciekami.
Nieupoważnione osoby trzecie uzyskały dostęp do danych 15 razy
DigitalOcean powiedział, że w wyniku naruszenia nie zaobserwowano nienormalnej aktywności w kontach ludzi. Firma przyznała jednak, że do dokumentu dostęp miały nieupoważnione osoby trzecie 15 razy przed jego usunięciem.
Nie jest to najgorszy wyciek, jaki kiedykolwiek widzieliśmy, ale mamy nadzieję, że ludzie zwrócą na to uwagę, ponieważ może to stanowić niezbity dowód, że jeśli jakaś informacja zostanie w Internecie, wcześniej czy później ktoś to dostanie do tego. Informacje te mogą (i często są) niezwykle wrażliwe, a ludzie muszą dowiedzieć się, że nawet jeśli nie ma żadnego udowodnionego niewłaściwego użycia, jeśli są publicznie ujawnione, należy je uznać za zagrożone.
Mamy nadzieję, że firmy takie jak DigitalOcean zrobią wszystko, co w ich mocy, aby takie incydenty były tak rzadkie, jak to możliwe, i miejmy nadzieję, że użytkownicy w końcu zdadzą sobie sprawę z tego, jak niebezpieczne mogą być.