Главнаябезопасность49 миллионов уникальных электронных писем были выставлены из-за неправильного обращения с учетными данными

49 миллионов уникальных электронных писем были выставлены из-за неправильного обращения с учетными данными

Израильская маркетинговая компания раскрыла 49 миллионов уникальных электронных писем после ненужных команд аутентификации для базы данных Elasticsearch, расположенной на незащищенном веб-сервере.

В расплывчатом обновлении на этой неделе Straffic, частная компания цифрового маркетинга, заявила, что инцидент был результатом «уязвимости безопасности», затронувшей один из сервер из.

Но это не вся история, и это событие показывает, что огромные базы данных все еще находятся в опасности, даже когда доступ к ним требует контроля. идентичность.

Неожиданная уязвимость

Straffic описывается как «частная сеть для аффилированных аффилированных лиц с CPA [цена за действие] и CPL [цена за лид] от доверенных рекламодателей».

В коротком сообщении в среду компания объявила, что «на одном из серверов, которые мы используем для предоставления наших услуг, была обнаружена уязвимость системы безопасности».

Инцидент был связан с базой данных Elasticsearch со 140 ГБ контактной информации, состоящей из имен, телефонных номеров и почтовых адресов. Пока он был защищен парольПохоже, что учетные данные не были сохранены правильно.

Исследователь безопасности был назван 0m3n в Twitter нашел их в виде обычного текста на веб-сервере. 0m3n - инженер DevOps с упором на безопасность - решил проверить веб-сервер после получения ссылки в спам-сообщении.

Трой Хант сказал, что 70% электронных писем в базе данных Straffic уже существует на I Have Be Pwned, сайте уведомлений об утечке данных, который он создал. Это означает, что многие из этих писем «пришли не из предыдущих нарушения", - сказал он в ответ на сообщение Under the Breach в Twitter.

Straffic говорит все системы на данный момент безопасно, и они не нашли никаких доказательств копирования или неправильного использования дата.

Действительно, инциденты безопасности могут произойти, даже если были приняты наилучшие меры предосторожности, и более вероятно, что произойдут, когда учетные данные базы данных данные доступны в Интернете, особенно когда они в виде простого текста.

Хант, хорошо знакомый с объявлениями о раскрытии информации о нарушениях данных, отмечает, что в объявлении Straffic отсутствует основная информация, которая должна быть доступна в таком случае. связь, Не сообщается никакой информации о дате события (или, по крайней мере, смете), чем оно вызвано, как оно было совершено и какие стороны информированы.

Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.
spot_img

ЖИВЫЕ НОВОСТИ