Orvis admitiu vazar senhas internas que poderiam ter exposto a segurança da empresa

Orvis Exposed Usernames Passwords

Fundada na década de 1850, a Orvis é considerada uma das primeiras empresas de pedidos por correio nos EUA. Começou como um varejista especializado em parafernália de pesca com mosca, mas agora vende todos os tipos de roupas e artigos esportivos. Emprega cerca de 1.700 pessoas em cerca de 100 locais, e é um nome familiar em partes da América e da Grã-Bretanha. Agora, também é famoso por expor uma enorme quantidade de informações internas confidenciais no Pastebin.

Brian Krebs, jornalista de segurança cibernética que relatou o incidente pela primeira vez, descreveu o vazamento como "de longe o exemplo mais extremo" de exposição de dados que ele já viu. Mas quem é o responsável pela violação? E como isso aconteceu?

Alguém deixou inadvertidamente toneladas de nomes de usuário e senhas do Orvis para o mundo ver

Como você pode ver, a Orvis é uma organização relativamente grande e você pode imaginar quantos serviços de terceiros diferentes eles dependem para operar. Obviamente, para executar esses serviços de terceiros, os funcionários da Orvis precisam de credenciais de login e, por algum motivo, uma única pessoa teve acesso a todos esses nomes de usuário e senhas. A pessoa mencionada cometeu o terrível erro de enviá-los todos para Pastebin, onde estavam acessíveis a qualquer pessoa com conexão à Internet.

A natureza dos dados expostos é tão diversa que pode fazer sua cabeça girar. Incluídos no arquivo estavam nomes de usuário e senhas em texto simples que podem colocar a segurança física e on-line do Orvis sob séria pressão se cairem nas mãos erradas.

Havia credenciais de login para qualquer coisa, desde redes Wi-Fi através de servidores back-end, produtos antivírus e firewall, controles DNS, FTP, Microsoft 365 e contas do Active Directory, até sistemas de pagamento móvel. Havia também senhas para câmeras de segurança, sistemas de backup de bateria, controladores de portas, bem como códigos de portas e alarmes. Havia até uma combinação de um cofre que é mantido em uma das salas de servidores do varejista.

O arquivo foi encontrado pela primeira vez por uma equipe de especialistas que trabalhavam para a Hold Security e a 4iQ, que pensam que o vazamento de dados provavelmente resultou de um erro honesto. Quem cometeu o referido erro, no entanto, e por que eles tiveram acesso a todas essas informações permanece desconhecido. Uma notação dizendo "VT Technical Services" pode ser encontrada no início do arquivo, mas, nesse momento, seu significado permanece desconhecido.

Orvis diz que as coisas não são tão ruins quanto parecem

Sem surpresa, assim que Brian Krebs soube do vazamento, ligou para Orvis e pediu um comentário. Um porta-voz foi rápido em apontar que o arquivo vazado acidentalmente continha várias senhas antigas que não estavam mais ativas. As credenciais mais recentes já foram invalidadas e, de acordo com o varejista, o arquivo exposto foi retirado poucas horas depois de aparecer on-line.

Os pesquisadores de segurança que descobriram o vazamento pedem diferenças, no entanto. Eles dizem que o arquivo de senha foi postado no Pastebin não uma vez, mas duas vezes - primeiro em 4 de outubro e depois em 22 de outubro.

Quando Brian Krebs pediu a Orvis para confirmar ou negar essas descobertas, o varejista bloqueou seus e-mails. Mesmo que as pessoas responsáveis pela segurança e pelas relações públicas da loja on-line estejam convencidas de que os pesquisadores estão errados e de que o arquivo ficou acessível por um período limitado de tempo, essa dificilmente é a resposta perfeita após um incidente de exposição de dados que poderia ter ocorrido. consequências absolutamente devastadoras para os negócios da Orvis.

November 12, 2019
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.