Noll
Internet Service Provider Pocket iNet utsatt 73 GB av företagens information på nätet, inklusive AWS hemliga nycklar och intern data.
It-företaget UpGuard avslöjade på tisdagen att data läckan orsakades av ett felaktigt Amazon S3 lagring hink som tillåts att få tillgång till och nedladdning av information utan att behöva tillstånd.
Washington-baserade Pocket iNet erbjuder kunderna en bredbandsanslutning till Internet, video, och smart, ansluten hem lösningar.
Företaget hävdar att “använder sig av bleeding edge och nya tekniker som native IPv6, Carrier Ethernet och lokala fiber.”
Men ISP kan behöva fokusera mer på säkerhet med tanke på detta förlopp. Enligt UpGuard, bland de uppgifter som avslöjade lösenord lagras i klartext, AWS hemliga nycklar för Pocket iNet anställda, diagram nätverk, inställningar, och litteraturlistor.
Se också: Den mest intressanta Internet-anslutna fordon hacka på skiva
De listor med lösenord var främst som heter “root” eller “admin”, vilket innebär att dessa konton kan ha fått hög nivå privilegier och rättigheter. I händerna på en angripare, sådana referenser kan ha stavat katastrof för ISP och dess infrastruktur.
“Utsätta filer som detta erbjuder upp nycklarna till riket, men i sanning, sådana filer ska inte finnas i någon form,” UpGuard noteras. “Dokument innehåller långa listor av administrativa lösenord kan vara bekvämt för verksamheten, men de skapar enstaka punkter av den totala risken, där den kompromiss av ett dokument kan ha allvarliga och omfattande effekter på hela verksamheten.”
Dessutom, Pocket iNet är läckande server visade fotografier av företagets utrustning, som säger forskarna ingår “routrar, kablage och torn.”
CNET: Vita Huset vill låna teknisk arbetstagare från Google, Amazon, säger rapporten
En lista över prioriterade kunder” var också ingår i den läcka som heter Lockheed Martin, Toyota, Richland School District, och de Lourdes Medical Center, bland andra organisationer.
UpGuard upptäckte säkerhet misslyckande den 11 oktober, där ett offentligt exponerade hink som kallas “pinapp2” visades tillhöra ISP-samt 73 GB av data. Men vissa av hinken var begränsad och den information som finns inom var inte nedladdningsbara.
Samtidigt som ISP var anmälda på samma dag via telefon och e-post, UpGuard säger att det var en vecka innan hinken var säkrad.
TechRepublic: Hur Råttor infekterar datorer med skadlig programvara
“På grund av svårighetsgraden av denna exponering, UpGuard ned betydande arbete under dessa sju dagar, upprepade gånger kontakta Pocket iNet och berörda tillsynsmyndigheterna, bland annat med hjälp av kontaktinformationen som finns inom utsatt dataset,” forskarna säger. “Internet service providers har utsetts som en del av OSS Kritiska Infrastruktur, och utgör ett viktigt mål för negativa nation-state hot grupper.”
UpGuard har hittat ett antal av läckande, online-inför servrar under de senaste åren, en av de sista att vara en GoDaddy Amazon S3 bucket.
Hinken som skapades av en AWS säljare till butiken blivande AWS prisscenarier och GoDaddy sade den avslöjade informationen var inte bara relaterad till spekulativa modeller. Inga kunddata var utsatt.
Uppdatering 15.07 BST: EN Ficka iNet talesperson berättade ZDNet:
“Tyvärr, en enda mapp i PocketiNet nätverk drift historiska data (non-kund) var offentligt tillgänglig till Amazon administrativa användare (icke-offentliga). De flesta av dessa uppgifter var i dag och var dokumentation i naturen på nätet. Det har sedan dess varit säkrade.
Vi uppskattar att bli uppmärksammade på det här felet. PocketiNet genomför för närvarande ett omfattande nätverk översyn för att garantera att inga ytterligare uppgifter äventyras. Vi har också börjat en komplett analys av operativa förfaranden för att säkerställa att inga framtida fel uppstår.
Inga personliga eller finansiella uppgifter kunden var tillgänglig.
Vi är ödmjuka inför denna upplevelse. Vi är beslutsamma i vår korrigerande kursen.”
Tidigare och relaterade täckning
Detta är hur regeringen spyware StrongPity använder säkerhet forskarnas arbete mot dem i Google Nyheter app bugg brännskador genom gigabyte användaren mobil data-Projekt Lakhta: ryska nationella debiteras med valet i USA inblandning
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0