Интернет-провайдер хранил свои пароли и ключи в незашифрованном виде
В последнее время оставлять данные пользователей доступными в незащищенном виде через интернет стало чем-то вроде хорошего тона. По данным исследователей из UpGuard, очередная компания хранила данные своих клиентов в облаке Amazon без какой-либо защиты.
73 ГБ важных операционных данных вашингтонского интернет-провайдера Pocket iNet в течение нескольких месяцев хранились в некорректно сконфигурированном бакете Amazon S3 под названием pinapp2. Как выразились исследователи, бакет содержал «ключи от королевства», включая диаграммы внутренних сетей, снимки конфигураций сетевого оборудования, незашифрованные пароли и закрытые ключи AWS сотрудников Pocket iNet.
Списки паролей содержали учетные данные администраторов, предоставляющие доступ к используемым провайдером межсетевым экранам, маршрутизаторам, серверам и беспроводным точкам доступа.
«Документы с длинными списками паролей администратора могут быть весьма удобны, но они представляют собой собранную в одном месте угрозу для всего. Компрометация одного документа может оказать сильный эффект с далеко идущими последствиями для всего бизнеса. Если уж существование таких документов необходимо, то они должны быть защищены надежным шифрованием и храниться в известном защищенном месте», - отметили исследователи.
Незащищенный бакет был обнаружен 11 октября текущего года, и в тот же день исследователи уведомили об этом интернет-провайдера. На то, чтобы обезопасить данные, у компании ушла целая неделя.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш