Zero
Internet Service Provider Tasca iNet esposto 73GB di informazioni aziendali online, tra cui AWS chiavi segrete e dati interni.
Cybersecurity ditta UpGuard ha rivelato martedì che la perdita di dati è stato causato da un mal configurato Amazon S3 archiviazione secchio, che ha consentito l’accesso e il download di informazioni senza la necessità di autorizzazione.
Con sede a Washington Tasca iNet offre ai clienti un servizio Internet a banda larga, video streaming, e intelligente, connesso con soluzioni casalinghe.
L’azienda sostiene di “si avvale di bordo sanguinamento e tecnologie emergenti come IPv6 nativo, Carrier Ethernet, e locali di fibre”.
Tuttavia, l’ISP potrebbe aver bisogno di concentrarsi di più sulla sicurezza dato questo lasso. Secondo UpGuard, tra i dati esposti, è stata password memorizzate in formato testo normale, AWS chiavi segrete per Pocket iNet dipendenti, diagrammi di rete, le impostazioni di configurazione e elenchi di inventario.
Vedi anche: La più interessante connessi a Internet, veicolo hack su record
Le liste di password sono state principalmente denominato “root” o “admin”, il che implica che questi account potrebbe essere stato dato di alto livello di privilegi e autorizzazioni. Nelle mani di un malintenzionato, tali credenziali potrebbe avere scritto un disastro per gli ISP e le sue infrastrutture.
“Esposizione dei file come questa offre le chiavi per il regno, ma in verità, tali file non dovrebbe esistere in qualsiasi forma,” UpGuard notato. “I documenti contenenti i lunghi elenchi di password di amministrazione può essere conveniente per le operazioni, ma creano punti di rischio totale, dove il compromesso di un documento può avere gravi ed estese effetti sull’intero business.”
Inoltre, Tasca iNet è che perde server rivelato fotografie dello studio, che i ricercatori dicono inclusi “i router, del cablaggio, e torri”.
CNET: Casa Bianca vuole prendere in prestito tech lavoratori da Google, Amazon, dice rapporto
Una lista di priorità dei clienti” è stato incluso nella fuga, che di nome Lockheed Martin, Toyota, Richland School District, e Lourdes Medical Center, tra le altre organizzazioni.
UpGuard scoperto l’errore di protezione dell ‘ 11 ottobre, in cui un esposto pubblicamente secchio chiamato “pinapp2” ha dimostrato di appartenere all’ISP-così come 73GB di dati. Tuttavia, alcuni dei secchio era limitato e le informazioni contenute all’interno non era scaricabile.
Mentre l’ISP è stato notificato lo stesso giorno via telefono, e-mail, UpGuard dice che è stata una settimana prima che il secchio era assicurato.
TechRepublic: Come Ratti infettare i computer con il software dannoso
“A causa della gravità di questa esposizione, UpGuard profuso un notevole impegno durante quei sette giorni, contattare ripetutamente Tasca iNet e pertinenti autorità di regolamentazione, tra cui utilizzando i recapiti presenti all’interno del dataset esposti,” dicono i ricercatori. “I fornitori di servizi Internet sono stati designati come parte di NOI e delle Infrastrutture Critiche rappresentano un obiettivo primario per le stato-nazione minaccia dei gruppi”.
UpGuard ha trovato un certo numero di dispersioni, in linea di server esposti negli ultimi anni, uno degli ultimi a essere un GoDaddy secchio Amazon S3.
Il secchio è stato creato da un AWS venditore per negozio di potenziali AWS scenari di determinazione dei prezzi e GoDaddy ha detto esposte informazioni era solo legato a modelli speculativi. No i dati del cliente è stato esposto.
Aggiornamento 15.07 BST: UNA Tasca iNet portavoce ha detto a ZDNet:
“Purtroppo, una singola cartella di PocketiNet del funzionamento della rete dati storici (non clienti) è stato pubblicamente accessibili a Amazon utenti con privilegi di amministratore (non pubblici). La maggior parte di questi dati è stato aggiornato ed è stato documentazione in natura sulla rete. Da allora è stato assicurato.
Chiediamo di essere avvisati di questo errore. PocketiNet è attualmente conducendo una completa analisi della rete per garantire ulteriori dati è compromessa. Abbiamo anche iniziato una completa analisi delle procedure operative per garantire il futuro si verificano errori.
Personali o dati finanziari del cliente era accessibile.
Siamo grati di questa esperienza. Siamo decisi a nostra correzione.”
Precedente e relativa copertura
Questo è come il governo spyware StrongPity utilizza i ricercatori di sicurezza di lavoro contro di loro Google News app bug brucia gigabyte di utente mobile di dati di Progetto Lakhta: nazionale russa di carica con NOI elezione ingerenza
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0