События

Неправильная настройка CouchDB скомпрометировала безопасность банка

Неправильная настройка CouchDB скомпрометировала безопасность банка

Исследователь Крис Викери (Chris Vickery) обнаружил очередную уязвимую базу данных. Хотя он находит подобные утечки с завидной регулярностью, этот случай несколько отличается от других. В базе CouchDB содержалась информация о безопасности объектов, принадлежащих Управлению общественной безопасности Оклахомы, а также данные компрометирующие безопасность здания банка Midfirst.

Официальный блог MacKeeper сообщает, что Викери обнаружил проблемную БД еще 9 июля 2016 года. Как вскоре выяснилось, уязвимый сервер CouchDB принадлежал частному охранному предприятию Automation Integrated. Из-за неправильной настройки, содержимое БД было доступно любому желающему, без всякого логина и пароля, что, учитывая специфику работы фирмы, действительно можно назвать большой проблемой.

Викери рассказал, что в базе содержалась такая конфиденциальная информация о клиентах Automation Integrated, как данные о производителях и моделях замков и охранных систем, места их установки, информация о сроках действия гарантии, и даже сведения о том, работает конкретная система безопасности или нет. Исследователь также обнаружил на сервере изображения, демонстрирующие охранные системы различных объектов, замки, панели доступа RFID и так далее. Примеры можно увидеть ниже.

misconfigured-server-exposes-alarm-system-details-for-oklahoma-bank-and-dps-506291-3
misconfigured-server-exposes-alarm-system-details-for-oklahoma-bank-and-dps-506291-4

Следуя обычному «протоколу», Викери предпринял попытку связаться инженерами Automation Integrated, позвонив в компанию, а также для верности отправив email, с описанием проблемы. Исследователь был несказанно удивлен, когда уже через несколько часов ему перезвонил лично вице-президент Automation Integrated и поблагодарил за работу. Дело в том, что зачастую Викери неделями не удается связаться с проштрафившимися компаниями, а некоторые вместо «спасибо» и вовсе угрожают подать в суд, как, к примеру, поступила компания uKnowKids.

«Это прекрасный пример реакции на инцидент, — пишет Викери. — Компании совершают подобные ошибки постоянно, и я бы хотел, чтобы больше компаний реагировали на случившееся также хорошо, как Automation Integrated».

Эксперт отмечает, что хранившаяся в базе данных информация о системах сигнализации и замках, в числе прочего касалась полицейских участков, банков и других организаций, для которых утечка данных могла бы обернуться большими проблемами.

Автор: Сергей Куприянов
15.07.2016 (07:30)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome

Все права защищены © 2010-2024

"alterprogs.com" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.com. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.