Orvis已承认泄漏可能暴露公司安全性的内部密码

Orvis Exposed Usernames Passwords

Orvis成立于1850年代,被认为是美国最早的邮购业务之一。它最初是一家专门从事蝇钓用具的零售商,但现在它出售各种服装和体育用品。它在接近100个地点拥有约1,700名员工,在美国和英国的部分地区家喻户晓。现在,它还因在Pastebin上公开大量敏感的内部信息而闻名。

网络安全记者布莱恩·克雷布斯(Brian Krebs)首次报道了这一事件,他将该泄漏描述为他所见过的“迄今为止最极端的数据泄露案例”。但是,谁应该为违反行为负责?以及它是如何发生的?

有人无意中将大量的Orvis用户名和密码留给了全世界

如您所见,Orvis是一个相对较大的组织,您只能想象它要依靠多少种不同的第三方服务来运作。显然,要运行这些第三方服务,Orvis员工需要登录凭据,并且由于某种原因,一个人可以访问所有这些用户名和密码。然后,该人犯了一个可怕的错误,那就是将它们全部上传到Pastebin,在那里任何具有Internet连接的人都可以访问它们。

公开数据的性质是如此多样,它可能使您旋转。该文件中包含纯文本用户名和密码,如果这些密码和密码落入他人之手,可能使Orvis的物理和在线安全受到严重压力。

从Wi-Fi网络到后端服务器,防病毒和防火墙产品,DNS控件,FTP,Microsoft 365和Active Directory帐户,再到移动支付系统,都有登录凭据。还有用于安全摄像机,备用电池系统,门控制器以及门和警报代码的密码。甚至还有一个保险箱的组合,存放在零售商的一个服务器机房中。

该文件最初是由Hold Security和4iQ的一个专家团队发现的,他们认为数据泄漏很可能是诚实错误的结果。但是,谁犯了上述错误,以及为什么他们可以访问所有这些信息仍然未知。在文件的开头可以找到一个表示“ VT技术服务”的符号,但是在此时,其含义仍然未知。

奥维斯(Orvis)说,事情并没有看起来那么糟

毫不奇怪,布莱恩·克雷布斯(Brian Krebs)一听到泄密之风,便打电话给奥维斯(Orvis)并要求发表评论。一位发言人很快指出,意外泄露的文件包含许多旧密码,这些密码不再有效。较新的凭据已经失效,并且根据零售商的说法,暴露的文件在线出现后仅几个小时就被删除了。

但是,发现泄漏的安全研究人员对此表示不同。他们说,密码文件在Pastebin上发布的不是一次,而是两次,第一次是10月4日,然后是10月22日。

当布莱恩·克雷布斯(Brian Krebs)要求奥维斯(Orvis)确认或否认这些发现时,零售商阻止了他的电子邮件。即使负责网店安全和PR的人员确信研究人员错了,并且文件可以在有限的时间内访问,但这并不是在可能发生的数据泄露事件之后的完美响应。对Orvis的业务造成绝对的破坏性后果。

November 12, 2019

发表评论

重要!若要继续到下一步,请完成以下简单的数学问题。
Please leave these two fields as is:
5 + 5是什么?