Orvis har erkänt att läcka interna lösenord som kunde ha blottlagt företagets säkerhet

Orvis, som grundades 1850-talet, anses vara ett av de första postorderföretagen i USA. Det började som en specialiserad återförsäljare för flygfiskeutrustning, men det säljer nu alla typer av kläder och sportartiklar. Det har cirka 1 700 anställda på nära 100 platser, och det är något av ett hushållsnamn i delar av Amerika och Storbritannien. Nu är det också känt för att ha exponerat en enorm mängd känslig intern information om Pastebin.

Brian Krebs, cybersäkerhetsjournalisten som först rapporterade händelsen, beskrev läckan som "det överlägset mest extrema exemplet" på dataexponering som han någonsin har sett. Men vem är ansvarig för överträdelsen? Och hur hände det?

Någon oavsiktligt lämnade massor av användarnamn och lösenord för Orvis för världen att se

Som du kan se är Orvis en relativt stor organisation, och du kan bara föreställa dig hur många olika tredjeparts tjänster det förlitar sig för att driva. För att kunna driva dessa tjänster från tredje part behöver självklart inloggningsuppgifter för Orvis, och av någon anledning hade en enda person tillgång till alla dessa användarnamn och lösenord. Den nämnda personen gjorde då det fruktansvärda misstaget att ladda upp alla till Pastebin, där de var tillgängliga för alla med internetuppkoppling.

Arten av de exponerade uppgifterna är så olika, det kan få huvudet att snurra. I filen ingick användarnamn och lösenord i klartext som kan sätta Orvis fysiska och online-säkerhet under allvarligt tryck om de faller i fel händer.

Det fanns inloggningsuppgifter för allt från Wi-Fi-nätverk via backend-servrar, antivirus- och brandväggsprodukter, DNS-kontroller, FTP, Microsoft 365 och Active Directory-konton till mobila betalningssystem. Det fanns också lösenord för säkerhetskameror, batteribackup-system, dörrkontroller samt dörr- och larmkoder. Det fanns till och med en kombination till ett kassaskåp som förvaras i ett av återförsäljarens serverrum.

Filen hittades först av ett team av experter som arbetade för Hold Security och 4iQ, som tror att dataläckan troligen var resultatet av ett ärligt misstag. Vem som gjorde det nämnda misstaget, dock, och varför de hade tillgång till all den informationen förblir okänd. En notering som säger "VT Technical Services" kan hittas i början av filen, men vid denna tidpunkt förblir dess betydelse okänd.

Orvis säger att saker och ting inte är så illa som de verkar

Så förvånansvärt, så snart Brian Krebs fick vind från läckan, ringde han Orvis och bad om en kommentar. En talesman var snabb att påpeka att den oavsiktliga läckta filen innehöll en hel del gamla lösenord som inte längre var aktiva. Nyare referenser har redan ogiltigförklarats, och enligt detaljhandlaren togs den exponerade filen ner bara timmar efter att den visades online.

Säkerhetsforskarna som upptäckte läckan begär dock att skilja sig åt. De säger att lösenordsfilen publicerades på Pastebin inte en gång, utan två gånger - först den 4 oktober och senare den 22 oktober.

När Brian Krebs bad Orvis att bekräfta eller förneka dessa resultat, blockerade detaljhandlaren sina e-postmeddelanden. Även om de personer som ansvarar för onlinebutikens säkerhet och PR är övertygade om att forskarna har fel och att filen var tillgänglig under en begränsad tidsperiod, är detta knappast det perfekta svaret i efterdyningarna av en händelse av dataexponering som kunde ha haft absolut förödande konsekvenser för Orvis verksamhet.