Nul
Finske telefon sælger Nokia nægtet i dag en sikkerhed for virksomhedens krav, at det er udsat en guldgrube af interne legitimationsoplysninger, kryptering og API-nøgler i en server, som det ved et uheld efterladt synlige og let tilgængelige over Internettet.
Spørgsmålet er, i forhold til en etcd server opdaget af HackenProof forsker Bob Diachenko.
Etcd er en database-server, der oftest anvendes i virksomhedernes og cloud computing-miljøer. De er en standard del af CoreOS, et styresystem udviklet til cloud hosting miljøer, hvor de anvendes som en del af OS’ clustering system. CoreOS bruger en etcd server som en central storage miljø adgangskoder og adgang poletter til applikationer implementeres via sin clustering/container system.
Diachenko fortalte ZDNet i sidste uge, at han kom på tværs af en sådan etcd server i sidste uge, on December 13. Han siger, at han opdagede serveren ved hjælp af Shodan søgemaskine til internet-tilsluttede enheder. Diachenko sagde, at det var straks klart, at den server, der tilhørte Nokia.
I et blog-indlæg i dag, forskeren endelig detaljerede sidste uges resultater, efter at Nokia havde sikret sig udsat server tidligere i denne uge. Ifølge Diachenko, serveren i prisen legitimationsoplysninger for applikationer såsom Heketi, Redis, og Væver, men også Kubernetes hemmelige krypteringsnøgler, en Gluster brugerens private nøgle, SSH og RSA private nøgler, klynge-tasterne, AWS S3 hemmelige nøgler “og et par andre.”
Billede: HackenProof
Den HackenProof forsker sagde, at den samme server var også kører en logføringstjeneste, der var tilbage udsættes uden godkendelse, så alle kan få adgang til det over internettet.
Kontaktet af ZDNet på mandag, en Nokia talsmand nægtet den server, der er indeholdt følsomme oplysninger.
“Denne særlige AWS server blev oprettet for nogen tid siden af en af vores udviklere med henblik på test,” Nokia talsmand fortalte ZDNet. “Serveren indeholder ikke følsomme oplysninger eller interne legitimationsoplysninger. Som sagt, vi vil bruge denne episode for egen bevidsthed uddannelse til Nokia R&D-medarbejdere.”
Men HackenProof forsker, der ikke mener, at selskabets forklaring. “Det gjorde det ikke ser ud som test miljø til mig,” Diachenko sagde. “I modsætning, [det var] en statskassen.”
Ikke desto mindre, at forskeren ikke kan modsige Nokia ‘ s vurdering, ud over en redegørelse. Hvid-hat security-forskere som Diachenko brug ikke udsat login til at få adgang til virksomhedens interne netværk, da dette udgør en uautoriseret login, et kriminalitet i alle lande.
“I slutningen af den dag, vi ikke kan være 100% sikker på, at dette var en test data, i betragtning af arten af den observerede miljø, og antallet af udsatte passwords,” sagde han.
Nokia er helt sikkert ikke den eneste virksomhed, der har dette problem. Tidligere dette år, en sikkerheds-forsker, der første gang rejste spørgsmålet om udsatte etcd servere, når han påpegede, at der var over 2,200 etcd databaser og er let tilgængeligt via Shodan, og de fleste var lagring af store mængder af adgangskoder og API-keys.
I dag, er, at antallet er mere end 2.600, i henhold til samme Shodan-søgning, hvilket betyder, at server ejerne har ikke lyttet til hans indledende advarsel.
Mere data, brud dækning:
Google+ er ramt af andet API fejl, der påvirker 52.5 millioner brugere
NASA offentliggør data breachQuora oplyser mega overtrædelse, der påvirker 100 millioner usersTwitter oplyser mistanke om statsstøttet attackFacebook fejl udsat private fotos af 6,8 millioner brugere
Rhode Island sagsøger Google efter nyeste Google+ API leakMarriott afslører brud på datasikkerheden, som påvirker 500 millioner hotellets gæster TechRepublicFirefox advarer, hvis det website, du besøger, har lidt et data, brud CNET
Relaterede Emner:
Mobilitet
Sikkerhed-TV
Data Management
CXO
Datacentre
0