Radu Dragusin ha scoperto che sono state rese disponibili online 100mila nomi utente e password, di dipendenti impiegati in Apple, Google, Oracle, Samsung e alla NASA, a causa di un problema ad un server dell'IEEE. Secondo Dragusin, - che attualmente lavora nel Dipartimento di Informatica dell 'Università di Copenhagen, Danimarca - le informazioni sono rimaste a disposizione del pubblico per almeno un mese prima di aver identificato il problema.
Inoltre, è rimasta a disposizione l'attività dei clienti spectrum.ieee.org. "L'errore più semplice e più importante da parte degli amministratori web di IEEE è che non sono riusciti a limitare l'accesso ai propri log del server web sia per ieee.org e spectrum.ieee.org permettendo di essere visualizzati da chiunque all'indirizzo ftp://ftp.ieee.org/uploads/akamai", ha scritto Dragusin in un post sul blog.
"Lasciare una directory FTP che contiene 100GB di log aperta al pubblico potrebbe essere un semplice errore di impostazioni delle autorizzazioni di accesso, ma mantenere entrambi i nomi utente e le password in chiaro è molto più fastidioso. Mantenere un hash crittografico della password è considerata la best practice, in quanto attuenerebbe un errore dei permessi di accesso", ha aggiunto.
Nel caso specifico il ricercatore ha rilevato come 411.308 log contenessero sia username che password e tra questi 99.979 username unici. A IEEE è stato notificato l'incidente e l'organizzazione si è precipitata per affrontare la questione. Tuttavia, è probabile che anche altri hanno avuto accesso ai dettagli prima che il buco di sicurezza fosse tappato. IEEE ha rilasciato la seguente dichiarazione:
"IEEE è venuta a conoscenza di un incidente in materia di accesso involontario di file log non crittografati contenenti gli ID utente e le password. Abbiamo condotto un'indagine approfondita e la questione è stata affrontata e risolta. Siamo nel processo di notifica a coloro che sono stati colpiti.
IEEE prende la salvaguardia delle informazioni private dei nostri soci e clienti molto seriamente. Ci scusiamo per il verificarsi di questo incidente e di qualche inconveniente che potrebbe aver causato".
L'IEEE (Institute of Electrical and Electronics Engineers), è rinomata come una delle organizzazioni leader a livello mondiale nello sviluppo di standard e la promozione dello sviluppo scientifico e didattico all'interno dell'elettronica e comunicazioni, Ingegneria Informatica e campi correlati. L'organizzazione conta più di 415.000 membri in tutto il mondo, quasi la metà dei quali negli Stati Uniti.
Per la natura stessa della organizzazione, i membri IEEE sono individui altamente specializzati, molti dei quali lavorano nel settore critico, progetti governativi e militari. Secondo databreaches, l'informazione ha già avuto riflesso su alcuni siti web, il che significa che gli individui colpiti sono a rischio. Il dato più grave, però, è scaturito dallo studio dei dati trafugati. Infatti, secondo le analisi tra le password più utilizzate sul database spicca "12345", "password", "library", "IEEE2011", "abc1234" e "admin".
Nessun commento:
Posta un commento