Orvis przyznał się do wycieku wewnętrznych haseł, które mogły narazić bezpieczeństwo firmy

Założona w latach 50. XIX wieku firma Orvis uważana jest za jedną z pierwszych firm wysyłkowych w Stanach Zjednoczonych. Początkowo był wyspecjalizowanym sprzedawcą sprzętu wędkarskiego, ale teraz sprzedaje wszelkiego rodzaju ubrania i artykuły sportowe. Zatrudnia około 1700 osób w blisko 100 lokalizacjach, a jest to nazwa gospodarstwa domowego w niektórych częściach Ameryki i Wielkiej Brytanii. Teraz słynie również z ujawniania ogromnej ilości poufnych informacji wewnętrznych na Pastebin.

Brian Krebs, dziennikarz ds. Bezpieczeństwa cybernetycznego, który pierwszy zgłosił incydent, opisał wyciek jako „zdecydowanie najbardziej ekstremalny przykład” ujawnienia danych, jakie kiedykolwiek widział. Ale kto jest odpowiedzialny za naruszenie? A jak to się stało?

Ktoś niechcący zostawił mnóstwo nazw użytkowników i haseł Orvis dla świata

Jak widać, Orvis jest stosunkowo dużą organizacją i możesz sobie tylko wyobrazić, jak wiele różnych usług stron trzecich działa. Oczywiście, aby uruchomić te usługi stron trzecich, pracownicy Orvis potrzebują poświadczeń logowania i z jakiegoś powodu jedna osoba miała dostęp do wszystkich tych nazw użytkowników i haseł. Wspomniana osoba popełniła straszny błąd, przesyłając je wszystkie do Pastebin, gdzie były dostępne dla każdego, kto ma połączenie internetowe.

Charakter ujawnionych danych jest tak różnorodny, że może spowodować, że głowa się zakręci. W pliku znalazły się nazwy użytkownika i hasła w postaci zwykłego tekstu, które mogą poważnie narazić fizyczne i internetowe bezpieczeństwo firmy Orvis, jeśli wpadną w niepowołane ręce.

Poświadczenia logowania do czegokolwiek, od sieci Wi-Fi poprzez serwery zaplecza, produkty antywirusowe i zapory ogniowe, kontrole DNS, FTP, Microsoft 365 i konta Active Directory, po mobilne systemy płatności. Były też hasła do kamer bezpieczeństwa, systemów podtrzymania bateryjnego, kontrolerów drzwi, a także kodów drzwi i alarmów. Istniała nawet kombinacja sejfu przechowywanego w jednej z serwerowni sprzedawcy.

Plik został po raz pierwszy znaleziony przez zespół ekspertów pracujących dla Hold Security i 4iQ, którzy uważają, że wyciek danych najprawdopodobniej był wynikiem uczciwego błędu. Jednak kto popełnił wspomniany błąd i dlaczego mieli dostęp do wszystkich tych informacji, pozostaje nieznany. Na początku pliku znajduje się zapis „Usługi techniczne VT”, ale w tym momencie jego znaczenie pozostaje nieznane.

Orvis mówi, że nie jest tak źle, jak się wydaje

Nic dziwnego, że gdy tylko Brian Krebs dowiedział się o wycieku, zadzwonił do Orvisa i poprosił o komentarz. Rzecznik szybko zauważył, że przypadkowo wyciekający plik zawierał kilka starych haseł, które nie były już aktywne. Nowsze dane uwierzytelniające zostały już unieważnione, a według sprzedawcy, ujawniony plik został usunięty zaledwie kilka godzin po pojawieniu się w Internecie.

Jednak badacze bezpieczeństwa, którzy odkryli wyciek, zaczynają się różnić. Mówią, że plik hasła został opublikowany na Pastebin nie raz, ale dwa razy - najpierw 4 października, a później 22 października.

Gdy Brian Krebs poprosił Orvisa o potwierdzenie lub zaprzeczenie tym ustaleniom, sprzedawca zablokował jego e-maile. Nawet jeśli osoby odpowiedzialne za bezpieczeństwo i PR sklepu internetowego są przekonane, że badacze się mylą i że plik był dostępny przez ograniczony czas, nie jest to idealna reakcja po incydencie związanym z ujawnieniem danych, który mógł mieć miejsce absolutnie druzgocące konsekwencje dla działalności Orvis.