Zespół z vpnmentor.com odkrył niepoprawnie skonfigurowaną instancję bazy danych na serwerze AWS. Ujawniono około 158GB danych zgromadzonych przez firmę SSL247, świadczącą usługi m.in. pentestów oraz wystawiania certyfikatów SSL. Firma oferuje swoje portfolio na cały świat, w tym na Europę. Potencjalne ujawnienie bazy danych dotyczy klientów, którzy korzystali z usług firmy SSL247 w latach 2012-2020.
Niepoprawnie skonfigurowany serwer zawierał około 465000 plików. Źle ustawione uprawnienia spowodowały, że serwer był całkowicie dostępny dla wszystkich. Dokumenty znajdujące się na serwerze obejmowały:
- Faktury
- Zlecenia kupna
- Dokumenty księgowe
- Listy klientów w formacie CSV
Każdy z tych dokumentów zawierał dane osobowe w różnej postaci, osób prywatnych i firm korzystających z usług SSL247. Badacze oszacowali, że łącznie znajdowało się tam do 350000 informacji o firmach i klientach indywidualnych.
Dostępne publicznie dane obejmowały:
- Pełne nazwy
- Adresy e-mail
- Kontaktowe numery telefonów
- Adresy osobiste i firmowe
- Szczegóły firmowe
- Zdjęcia profilowe
- Informacje o koncie SSL247 (tj. Identyfikator konta, daty założenia konta, zakupione produkty i inne dane)
- Wnioski kredytowe i dane finansowe
Ujawnienie danych to zagrożenie dla SSL247 i ich klientów
Znalezione pliki na serwerze firmy SSL247 mogły być wykorzystane do stworzenia skutecznej kampanii phishingowej podszywającej się pod SSL247. Przestępcy mogli nakłonić ofiary do podania danych z karty płatniczej i innych informacji. Maile mogły być też wykorzystane do osadzenia złośliwego oprogramowania i oprogramowania szpiegującego.
Podobny incydent z 2011 roku doprowadził do upadku firmę DigiNotar. W kilka miesięcy po włamani rząd Holenderski przejął przedsiębiorstwo, które zbankrutowało. Na skutek wycieku certyfikatów użytych do ataków man-in-the-middle, urzędy certyfikacji wycofały szkodliwe certyfikaty z przeglądarek . Tak zakończyła się działalność DigiNotar.
W związku z tym, że firma SSL247 ma klientów w Unii Europejskiej, podlega pod ustawę o ochronie danych osobowych. Jest zobligowana do zgłaszania wszelkich wycieków ze swojej sieci. Firma SSL247 na zgłoszenie i chęć pomocy zareagowała negatywnie. Ludzie z „vpnmentor” zgłosili się bezpośrednio do Amazona, który zareagował, tak jak trzeba. Postawa SSL247 dziwi nie tylko ekspertów. Co sprawiło, że wiele znanych korporacji, organów rządowych i instytucji zaufało firmie SSL247? Dlaczego firma uważa, że skoro nie było oficjalnego wycieku, to nie ma tematu do rozmowy?
Z usług SSL247 korzystało wiele koncernów międzynarodowych, takich jak: Casio, Motorola, Xerox, T-Mobile, JPMorgan, Ford, Yamaha, Siemens, a także rząd Kanady, oraz instytucje UNESCO, Greenpace i inni.
