Orvis已承認洩漏可能暴露公司安全性的內部密碼
Orvis成立於1850年代,被認為是美國最早的郵購業務之一。它最初是一家專門從事蠅釣用具的零售商,但現在它出售各種服裝和體育用品。它在接近100個地點擁有約1,700名員工,在美國和英國的部分地區家喻戶曉。現在,它還因在Pastebin上公開大量敏感的內部信息而聞名。
網絡安全記者布萊恩·克雷布斯(Brian Krebs)首次報導了這一事件,他將該洩漏描述為他所見過的“迄今為止最極端的數據洩露案例”。但是,誰應該為違反行為負責?以及它是如何發生的?
有人無意中將大量的Orvis用戶名和密碼留給了全世界
如您所見,Orvis是一個相對較大的組織,您只能想像它要依靠多少種不同的第三方服務來運作。顯然,要運行這些第三方服務,Orvis員工需要登錄憑據,並且由於某種原因,一個人可以訪問所有這些用戶名和密碼。然後,該人犯了一個可怕的錯誤,那就是將它們全部上傳到Pastebin,在那裡任何具有Internet連接的人都可以訪問它們。
公開數據的性質是如此多樣,它可能使您旋轉。該文件中包含純文本用戶名和密碼,如果這些密碼和密碼落入他人之手,可能使Orvis的物理和在線安全受到嚴重壓力。
從Wi-Fi網絡到後端服務器,防病毒和防火牆產品,DNS控件,FTP,Microsoft 365和Active Directory帳戶,再到移動支付系統,都有登錄憑據。還有用於安全攝像機,備用電池系統,門控制器以及門和警報代碼的密碼。甚至還有一個保險箱的組合,存放在零售商的一個服務器機房中。
該文件最初是由Hold Security和4iQ的一個專家團隊發現的,他們認為數據洩漏很可能是誠實錯誤的結果。但是,誰犯了上述錯誤,以及為什麼他們可以訪問所有這些信息仍然未知。在文件的開頭可以找到一個表示“ VT技術服務”的符號,但是在此時,其含義仍然未知。
奧維斯(Orvis)說,事情並沒有看起來那麼糟
毫不奇怪,布萊恩·克雷布斯(Brian Krebs)一聽到洩密之風,便打電話給奧維斯(Orvis)並要求發表評論。一位發言人很快指出,意外洩露的文件包含許多舊密碼,這些密碼不再有效。較新的憑據已經失效,並且根據零售商的說法,暴露的文件在線出現後僅幾個小時就被刪除了。
但是,發現洩漏的安全研究人員對此表示不同。他們說,密碼文件在Pastebin上發布的不是一次,而是兩次,第一次是10月4日,然後是10月22日。
當布萊恩·克雷布斯(Brian Krebs)要求奧維斯(Orvis)確認或否認這些發現時,該零售商阻止了他的電子郵件。即使負責網店安全和PR的人員確信研究人員有錯,並且可以在有限的時間內訪問該文件,但這在發生本應導致的數據洩露事件之後,也不是完美的應對措施。對Orvis的業務造成絕對的破壞性後果。