(SSL247) Nawet 350 tys. osób mogło być narażonych na ataki z powodu trywialnego błędu w konfiguracji serwera

26 sierpnia, 2020

Zespół z vpnmentor.com odkrył niepoprawnie skonfigurowaną instancję bazy danych na serwerze AWS. Ujawniono około 158GB danych zgromadzonych przez firmę SSL247, świadczącą usługi m.in. pentestów oraz wystawiania certyfikatów SSL. Firma oferuje swoje portfolio na cały świat, w tym na Europę. Potencjalne ujawnienie bazy danych dotyczy klientów, którzy korzystali z usług firmy SSL247 w latach 2012-2020.

Niepoprawnie skonfigurowany serwer zawierał około 465000 plików. Źle ustawione uprawnienia spowodowały, że serwer był całkowicie dostępny dla wszystkich. Dokumenty znajdujące się na serwerze obejmowały:

  • Faktury
  • Zlecenia kupna
  • Dokumenty księgowe
  • Listy klientów w formacie CSV

Każdy z tych dokumentów zawierał dane osobowe w różnej postaci, osób prywatnych i firm korzystających z usług SSL247. Badacze oszacowali, że łącznie znajdowało się tam do 350000 informacji o firmach i klientach indywidualnych.

Dostępne publicznie dane obejmowały:

  • Pełne nazwy
  • Adresy e-mail
  • Kontaktowe numery telefonów
  • Adresy osobiste i firmowe
  • Szczegóły firmowe
  • Zdjęcia profilowe
  • Informacje o koncie SSL247 (tj. Identyfikator konta, daty założenia konta, zakupione produkty i inne dane)
  • Wnioski kredytowe i dane finansowe

Ujawnienie danych to zagrożenie dla SSL247 i ich klientów

Znalezione pliki na serwerze firmy SSL247 mogły być wykorzystane do stworzenia skutecznej kampanii phishingowej podszywającej się pod SSL247. Przestępcy mogli nakłonić ofiary do podania danych z karty płatniczej i innych informacji. Maile mogły być też wykorzystane do osadzenia złośliwego oprogramowania i oprogramowania szpiegującego.

Podobny incydent z 2011 roku doprowadził do upadku firmę DigiNotar. W kilka miesięcy po włamani rząd Holenderski przejął przedsiębiorstwo, które zbankrutowało. Na skutek wycieku certyfikatów użytych do ataków man-in-the-middle, urzędy certyfikacji wycofały szkodliwe certyfikaty z przeglądarek . Tak zakończyła się działalność DigiNotar.

W związku z tym, że firma SSL247 ma klientów w Unii Europejskiej, podlega pod ustawę o ochronie danych osobowych. Jest zobligowana do zgłaszania wszelkich wycieków ze swojej sieci. Firma SSL247 na zgłoszenie i chęć pomocy zareagowała negatywnie. Ludzie z „vpnmentor” zgłosili się bezpośrednio do Amazona, który zareagował, tak jak trzeba. Postawa SSL247 dziwi nie tylko ekspertów. Co sprawiło, że wiele znanych korporacji, organów rządowych i instytucji zaufało firmie SSL247? Dlaczego firma uważa, że skoro nie było oficjalnego wycieku, to nie ma tematu do rozmowy?

Z usług SSL247 korzystało wiele koncernów międzynarodowych, takich jak: Casio, Motorola, Xerox, T-Mobile, JPMorgan, Ford, Yamaha, Siemens, a także rząd Kanady, oraz instytucje UNESCO, Greenpace i inni.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]