Keepnet Labs potwierdza, że ujawniono 5 miliardów adresów e-mail i haseł zebranych z poprzednich naruszeń danych
Baza danych z pięcioma miliardami rekordów pełnych nazw użytkowników i haseł została udostępniona w Internecie i nie była chroniona żadną formą uwierzytelnienia. Jak można się spodziewać, incydent ten zdobył kilka nagłówków, zwłaszcza w ostatnich dniach, ale niestety zrobił to ze wszystkich niewłaściwych powodów.
Luka w bazie danych elasticsearch została odkryta przez badacza bezpieczeństwa Boba Diachenko, który był zaskoczony nie tylko rozmiarem bazy danych, ale także sposobem, w jaki informacje w niej są uporządkowane. Krótkie dochodzenie powiązało ujawnione dane z brytyjską firmą zajmującą się bezpieczeństwem cybernetycznym o nazwie Keepnet Labs, która opublikowała oświadczenie w zeszłym tygodniu, próbując wyjaśnić, co poszło nie tak i dlaczego.
Brzmi gorzej niż jest
Jednym z kluczowych elementów oświadczenia firmy zajmującej się bezpieczeństwem jest to, że baza danych nie zawiera żadnych danych klientów Keepnet Labs. Keepnet Labs to firma zajmująca się analizą zagrożeń, która zbiera dane logowania, które wyciekły podczas naruszenia danych, a jeśli znajdzie dane niektórych swoich klientów, powiadomi ich i doradzi, jakie działania muszą podjąć.
Baza danych Elasticsearch była pełna nazw użytkowników i haseł wyciekających podczas różnych incydentów cyberbezpieczeństwa, które miały miejsce w latach 2012-2019. Oprócz danych logowania każdy rekord zawierał źródło wycieku, rok naruszenia i metodę przechowywania hasła.
Zgodnie z oświadczeniem Keepnet Labs korzystał z bazy danych w celu zapewnienia usługi analizy zagrożeń, ale nie był odpowiedzialny za jej utrzymanie. Było to zadanie wykonawcy, który współpracował z firmą ochroniarską od lutego 2018 r. Podczas wykonywania zaplanowanej konserwacji pracownik tego kontrahenta na krótko wyłączył zaporę ogniową, aby przyspieszyć proces i nieumyślnie ujawnił dane. Po około dziesięciu minutach zapora została ponownie włączona, ale do tego czasu baza danych została już zaindeksowana przez BinaryEdge i dlatego Diachenko zdołał ją znaleźć.
Jednym słowem wyciek nie był tak zły, jak się początkowo wydawało. Wszystkie nazwy użytkownika i hasła zostały ujawnione przed incydentem i chociaż były one dostępne w jednej, dobrze skonstruowanej bazie danych, pobranie znaczącej części, gdy była jeszcze ujawniona, było praktycznie niemożliwe, według Keepnet. Firma twierdzi, że wyciągnęła wnioski i podjęła środki ostrożności, aby zapewnić, że to się więcej nie powtórzy. Niestety, bezpośrednio po incydencie, Keepnet Labs podjął kolejny zestaw środków ostrożności, które nie pokazały go najlepiej.
Ujawnienie nie było dokładnie gładkie
Bob Diachenko dokonał tego odkrycia w marcu, a po opublikowaniu swojego raportu wyciek ujawnił więcej niż kilka serwisów informacyjnych i blogów na temat bezpieczeństwa cybernetycznego. Keepnet Labs uznał, że wielu z nich podczas meldunku wprowadzało w błąd, dlatego skontaktowano się z kilkoma reporterami i poproszono ich o edycję artykułów.
Popularny bloger ds. Bezpieczeństwa, Graham Cluley, również otrzymał wiadomość e-mail od Keepnet i chociaż nie sądził, że jego przedstawienie faktów było w jakikolwiek sposób błędne, był bardziej niż chętny, aby dać firmie ochroniarskiej szansę na opowiedzenie swojej strony historii. Zamiast oficjalnego oświadczenia lub okazji do porozmawiania z rzecznikiem otrzymał jednak e-maila od prawników Keepnet, którzy powiedzieli mu, że jeśli nie zrewiduje swojego artykułu i nie usunie nazwy firmy, będzie musiał stanąć przed sądowymi działaniami przeciwko mu.
Nie ma absolutnie nic złego w obronie reputacji Keepnet Labs, jeśli czuje, że został uszkodzony przez złe raportowanie. Jednak przez prawie trzy pełne miesiące firma nie wydała oficjalnego oświadczenia, aby wyprostować rekord, i odmówiła współpracy z reporterami w celu dokładnego przedstawienia wszystkich faktów. Może to mieć jeszcze większy wpływ na reputację Keepnet niż domniemane wprowadzenie w błąd faktów na niektórych stronach internetowych.
