Zero
Finlandese produttore telefono Nokia negato oggi una società di sicurezza afferma che è esposto un tesoro di interni credenziali, la codifica e chiavi API in un server che è accidentalmente lasciato esposto e facilmente accessibili su Internet.
Il problema in questione riguarda un etcd server scoperto da HackenProof ricercatore Bob Diachenko.
Etcd è un server di database che viene più spesso utilizzato in ambito societario e di cloud computing. Essi sono una parte standard di CoreOS, un sistema operativo sviluppato per il cloud hosting di ambienti, in cui essi sono utilizzati come parte del sistema operativo’ sistema di clustering. CoreOS utilizza un etcd server centrale ambiente di storage per le password e token di accesso per le applicazioni distribuite tramite clustering/sistema di contenitori.
Diachenko detto a ZDNet, la scorsa settimana è venuto fuori uno di questi etcd server, la scorsa settimana, il 13 dicembre. Lui dice che ha scoperto il server utilizzando il Shodan motore di ricerca per i dispositivi connessi a internet. Diachenko ha detto che era chiaro fin da subito che apparteneva il server Nokia.
In un post del blog di oggi, il ricercatore, infine, mappa della scorsa settimana risultati, dopo che Nokia ha assicurato l’esposto server all’inizio di questa settimana. Secondo Diachenko, il server incluse le credenziali per applicazioni come Heketi, Redis, e Tessere, ma anche Kubernetes segreto delle chiavi di crittografia, una Gluster utente chiave privata, SSH e privata RSA chiavi, chiavi cluster, AWS S3 chiavi segrete “e un paio di altri.”
Immagine: HackenProof
Il HackenProof ricercatore ha detto che il server stesso è stato anche l’esecuzione di un servizio di registrazione che è stata lasciata a vista, senza autenticazione, permettendo a chiunque di accedervi tramite internet.
Contattato da ZDNet, lunedì, un portavoce di Nokia ha negato il server contenute tutte le informazioni sensibili.
“Questo particolare AWS server è stato creato tempo fa da uno dei nostri sviluppatori per scopi di test,” il Nokia portavoce ha detto a ZDNet. “Il server non contiene informazioni riservate o interno credenziali. Detto questo, proviamo ad usare questo episodio per la propria formazione per sensibilizzare i Nokia di R&D per i dipendenti”.
Ma il HackenProof ricercatore non credere che l’azienda spiegazione. “Non aveva l’aspetto di ambiente di test per me,” Diachenko detto. “Al contrario, [era] un tesoro.”
Tuttavia, il ricercatore non può contraddire Nokia valutazione di là di una dichiarazione. White-hat i ricercatori di sicurezza come Diachenko non utilizzare esposti gli account di accesso di accesso di rete interna di una società, ciò che costituisce una accessi non autorizzati, di un reato in tutti i paesi.
“Alla fine del giorno, non possiamo essere sicuri al 100% che questo era un test per dati, data la natura dell’osservato ambiente e il numero di esposti password”, ha detto.
Nokia non è certo l’unica azienda ad avere questo problema. All’inizio di quest’anno, un ricercatore di sicurezza ha sollevato il problema degli esposti etcd server quando egli ha sottolineato che ci sono stati oltre 2.200 etcd database facilmente accessibili per via di Shodan, e la maggior parte erano l’archiviazione di una grande quantità di password e chiavi API.
Oggi, quel numero è di oltre 2.600, secondo la stessa Shodan query di ricerca, il che significa che i server proprietari non hanno ascoltato il suo messaggio di avviso iniziale.
Più di violazione dei dati di copertura:
Google+ colpito da seconda API bug impatto di 52,5 milioni di utenti
La NASA svela i dati breachQuora rivela mega violazione di impatto 100 milioni di usersTwitter rivela sospetta stato sponsorizzato attackFacebook bug esposto le foto private di 6,8 milioni di utenti
Rhode Island denuncia Google dopo l’ultimo Google+ API leakMarriott rivela la violazione dei dati, che colpisce 500 milioni di ospiti in hotel TechRepublicFirefox avvisa se il sito che stai visitando subito una violazione dei dati CNET
Argomenti Correlati:
Mobilità
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0