Keepnet Labs bekräftar att 5 miljarder e-postadresser och lösenord som har samlats in från tidigare dataöverträdelser exponerades

En databas med fem miljarder poster fulla med användarnamn och lösenord exponerades för internet och skyddades inte av någon form av autentisering. Förutsägbart tog händelsen mer än några få rubriker, särskilt de senaste dagarna, men tyvärr gjorde det det av alla fel skäl.

Den utsatta Elasticsearch-databasen upptäcktes av säkerhetsforskaren Bob Diachenko, som inte bara blev förvånad över databasens storlek utan också av hur informationen i den är strukturerad. En kort undersökning kopplade de exponerade uppgifterna till ett brittiskt baserat cybersecurity-företag som heter Keepnet Labs, som publicerade ett uttalande förra veckan i ett försök att klargöra vad som gick fel och varför.

Det låter sämre än det är

En av de viktigaste betoningen i säkerhetsföretagets uttalande är att databasen inte innehåller några Keepnet Labs kunddata. Keepnet Labs är ett hotintelligensföretag som samlar in inloggningsuppgifter som läckt ut vid dataöverträdelser, och om den hittar detaljerna hos några av sina kunder meddelar de dem och ger dem råd om vilka åtgärder de behöver vidta.

Elasticsearch-databasen var full av användarnamn och lösenord läckt under olika cybersäkerhetshändelser som inträffade mellan 2012 och 2019. Utöver inloggningsuppgifterna innehöll varje post källan till läckan, året för brottet och lösenordslagringsmetoden.

Enligt uttalandet använde Keepnet Labs databasen för att tillhandahålla sin hotinformationstjänst, men den var inte ansvarig för att underhålla den. Detta var jobbet för en entreprenör som hade arbetat med säkerhetsföretaget sedan februari 2018. Medan han utfört schemalagd underhåll stängde en anställd hos nämnda entreprenör kort av brandväggen för att påskynda processen och avslöjade oavsiktligt uppgifterna. Efter cirka tio minuter slogs brandväggen på igen, men då hade databasen redan indexerats av BinaryEdge, varför Diachenko lyckades hitta den.

Kort sagt, läckan var inte så dålig som den såg ut i början. Alla användarnamn och lösenord hade läckt ut före incidenten, och även om de fanns tillgängliga i en enda, välstrukturerad databas, var det nästan omöjligt att ladda ner en meningsfull del av den medan den fortfarande exponerades, enligt Keepnet. Företaget säger att det har lärt sig sina lärdomar och vidtagit försiktighetsåtgärder för att säkerställa att detta inte händer igen. Tyvärr tog Keepnet Labs omedelbart efter händelsen ytterligare en uppsättning försiktighetsåtgärder som inte gjorde det i bästa ljus.

Offentliggörandet var inte exakt smidigt

Bob Diachenko gjorde upptäckten långt tillbaka i mars, och efter att han publicerade sin rapport täckte mer än några få cybersecurity-nyheter och bloggar läckan. Keepnet Labs ansåg att många av dem gav vilseledande uttalanden under sin täckning, varför några få reportrar kontaktades och ombads att redigera sina artiklar.

Populära säkerhet bloggare Graham Cluley också fått ett mail från Keepnet, och även om han inte tror att hans representation av fakta var på något sätt fel, han var mer än villig att ge säkerhetsföretag möjlighet att berätta sin sida av historien. I stället för ett officiellt uttalande eller en chans att tala med en talesman fick han emellertid ett e-postmeddelande från Keepnets advokater som berättade för honom att om han inte reviderar sin artikel och tar bort företagets namn, skulle han stå inför rättsliga åtgärder mot honom.

Det finns absolut inget fel med att Keepnet Labs försvarar sitt rykte om det känner att det har skadats av dålig rapportering. Under nästan tre hela månader utfärdade emellertid företaget inte ett officiellt uttalande för att sätta rekordet rakt, och det vägrade att arbeta med reportrar för att presentera alla fakta korrekt. Detta kan ha en ännu större inverkan på Keepnets rykte än den påstådda felrepresentationen av fakta på vissa webbplatser.