[ad_1]

Orvisun détaillant du Vermont spécialisé dans l’équipement de pêche à la mouche haut de gamme et d’autres articles de sport, a divulgué des centaines de mots de passe internes sur Pastebin.com pendant plusieurs semaines le mois dernier, exposant les informations d’identification que l’entreprise utilisait pour tout gérer, des pare-feu et des routeurs aux comptes d’administrateur et aux serveurs de base de données, a appris BreachTrace. Orvis dit que l’exposition était involontaire et que de nombreuses informations d’identification étaient déjà expirées.

Basé à Sunderland, Vermont. et fondée en 1856, la société privée Orvis est le plus ancien détaillant de vente par correspondance aux États-Unis. La société compte environ 1 700 employés, 69 magasins de détail et 10 points de vente aux États-Unis, et 18 magasins de détail au Royaume-Uni.

Fin octobre, cet auteur a reçu un conseil d’une société de sécurité basée au Wisconsin Garder la sécurité qu’un fichier contenant un nombre impressionnant de noms d’utilisateur et de mots de passe internes pour Orvis avait été publié sur Pastebin.

Contacté pour commenter la source du document, le porte-parole d’Orvis Tucker Kimball a déclaré qu’il n’était disponible qu’un jour avant que la société ne le fasse retirer de Pastebin.

« Le fichier contient d’anciennes informations d’identification, de sorte que de nombreux appareils associés aux informations d’identification sont mis hors service et nous avons pris des mesures pour traiter les autres », a déclaré Kimball. « Nous tirons parti de nos outils de sécurité existants pour mener une enquête afin de déterminer comment cela s’est produit. »

Cependant, selon le fondateur de Hold Security Alex Holdencet énorme fichier de mots de passe a en fait été posté sur Pastebin à deux reprises le mois dernierle premier étant le 4 octobre et le second le 22 octobre. Cette conclusion a été corroborée par 4iq.comune entreprise qui regroupe en ligne des informations provenant de bases de données ayant fait l’objet d’une fuite.

Orvis n’a pas répondu aux demandes de suivi de commentaires par téléphone et par e-mail ; les deux derniers messages électroniques envoyés par BreachTrace à Orvis ont été renvoyés simplement comme « bloqués ».

Il n’est pas rare que des employés ou des sous-traitants publient des éléments de données sensibles sur des sites publics tels que Pastebin et GithubGenericNamemais le fichier d’informations d’identification apparemment publié par quelqu’un travaillant chez ou pour Orvis est de loin l’exemple le plus extrême que j’aie jamais vu.

Par exemple, les fichiers Pastebin d’Orvis comprenaient des noms d’utilisateur et des mots de passe en clair pour à peu près tous les types de services en ligne ou de produits de sécurité utilisés par l’entreprise, notamment :

-Moteurs antivirus
-Services de sauvegarde de données
-Plusieurs produits de pare-feu
-Serveurs Linux
-Routeurs Cisco
-Données Netflow
-Services d’enregistrement d’appels
-Contrôles DNS
-Réseaux sans fil Orvis (publics et privés)
-Services de téléphonie sans fil pour les employés
-Serveurs de base de données Oracle
-Service Microsoft 365
– Comptes et mots de passe Microsoft Active Directory
-Systèmes de sauvegarde de batterie
-Des caméras de sécurité
-Certificats de chiffrement
-Services de paiement mobile
-Codes de porte et d’alarme
-Identifiants FTP
-Identifiants d’identification Apple
-Contrôleurs de porte

Au dire de tous, c’était une gaffe complète : Le fichier d’informations d’identification Orvis contenait même la combinaison d’un coffre-fort verrouillé dans la salle des serveurs de l’entreprise.

Le seul indice sur la source du fichier de mot de passe Orvis est une notation en haut du document qui lit « VT Technical Services ».

Holden a déclaré que cette exposition particulière met également en évidence le problème avec les tiers, car le problème ne provient probablement pas du personnel d’Orvis lui-même.

« Il s’agit d’une tendance croissante des expositions créées non pas par les victimes mais par ceux qu’elles considèrent comme des partenaires de confiance », a déclaré Holden.

Il est assez remarquable qu’une entreprise puisse dépenser des millions pour toutes les technologies de sécurité sous le soleil et que tout cela soit potentiellement miné par un message mal avisé à Pastebin, mais c’est certainement la réalité dans laquelle nous vivons aujourd’hui.

Il est révolu depuis longtemps le temps où l’on pouvait publier quelque chose pendant quelques heures sur un service d’hébergement de documents publics et s’attendre à ce que personne ne le remarque. Aujourd’hui, il existe un certain nombre de services tiers qui indexent et conservent régulièrement ces publications, quel que soit leur caractère éphémère.

« Pastebin et d’autres référentiels similaires sont constamment surveillés et toutes les données qui y sont publiées seront conservées, quelle que soit la brièveté de la publication », a déclaré Holden. « Dans le paysage actuel des menaces, nous constatons des expositions de données presque aussi souvent que des violations de données. Ces expositions varient en termes de portée et d’impact, et celle-ci en particulier est aussi mauvaise qu’elle vient sans expositions de données spécifiques.

Si vous êtes responsable de la sécurisation de l’environnement de votre organisation, ce serait une excellente idée de créer des outils de surveillance pour vos domaines et marques sur Pastebin, Github et d’autres sites où les employés publient parfois des données d’entreprise sensibles, par inadvertance ou autrement. Il existe de nombreuses façons de procéder. voici un exemple.

Avez-vous construit de tels outils de suivi pour votre organisation ou votre employeur ? Si oui, n’hésitez pas à parler de votre approche dans les commentaires ci-dessous.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *