Τρία εκατομμύρια αρχεία διέρρευσαν από την εταιρεία digital marketing των ΗΠΑ “Friendemic”, λόγω λάθους στη διαμόρφωση του cloud. Μέσα σε αυτά τα αρχεία περιλαμβάνονται προσωπικά αναγνωρίσιμες πληροφορίες (PII).
Το περιστατικό ασφαλείας που έλαβε χώρα στην Friendemic, της οποίας οι κύριοι πελάτες φέρεται να είναι αντιπροσωπείες αυτοκινήτων στις ΗΠΑ, αποκαλύφθηκε από τον Aaron Phillips στο Comparitech. Όπως είθισται σε αυτές τις περιπτώσεις, τα μη κρυπτογραφημένα δεδομένα αφέθηκαν εκτεθειμένα στο Διαδίκτυο, χωρίς να απαιτείται κωδικός πρόσβασης ή έλεγχος ταυτότητας για να έχει κάποιος πρόσβαση σε αυτά. Στη συγκεκριμένη περίπτωση, ήταν ένα μη ασφαλές Amazon S3 bucket, το οποίο ο Phillips έφερε ως αντίγραφο ασφαλείας SQL ή βάσης δεδομένων, που πιθανώς δημιουργήθηκε για τη μετεγκατάσταση δεδομένων μεταξύ servers.
Σύμφωνα με αναφορές, υπήρχαν πάνω από 2,7 εκατομμύρια αρχεία μέσα στο εκτεθειμένο bucket, συμπεριλαμβανομένων πλήρων ονομάτων, αριθμών τηλεφώνου και διευθύνσεων email, μαζί με 16 OAuth tokens που ήταν αποθηκευμένα σε απλό κείμενο. Ωστόσο, παραμένει μέχρι στιγμής άγνωστο σε ποιον ακριβώς ανήκουν αυτά τα αρχεία. Η Friendemic ανέφερε στο Comparitech ότι αυτά δεν σχετίζονται με πελάτες της. Ισχυρίστηκε επίσης ότι τα OAuth tokens προορίζονταν μόνο για εσωτερικά συστήματα και δεν ήταν πλέον σε χρήση κατά την έκθεση των δεδομένων.
Το θετικό σε αυτή την υπόθεση είναι ότι η εταιρεία digital marketing των ΗΠΑ ενήργησε γρήγορα όταν ενημερώθηκε για το συμβάν, μετριάζοντας τον κίνδυνο μέσα σε μια μέρα. Συγκεκριμένα, η Friendemic δήλωσε σε σχετική της ανακοίνωση τα ακόλουθα: «Αν και καμία εταιρεία δεν θέλει να της συμβεί ποτέ κάτι τέτοιο, είμαστε στην ευχάριστη θέση να διορθώσουμε την ευπάθεια. Σας ευχαριστούμε που μας ενημερώσατε και ενεργείτε επαγγελματικά. Έχουμε επίσης ενημερώσει τους πελάτες μας για την κατάσταση και έχουμε κάνει μια ενδελεχή αναθεώρηση και βελτίωση της ασφάλειας των δεδομένων μας».
Ωστόσο, τέτοια περιστατικά είναι όλο και πιο συνηθισμένα και θα μπορούσαν να θέσουν τους πελάτες σε κίνδυνο phishing επιθέσεων και απάτης ταυτότητας. Υπάρχει επίσης ο κίνδυνος οι εισβολείς να κλέψουν μία βάση δεδομένων και να έχουν πρόσβαση ή και να αφαιρέσουν όλα τα δεδομένα που περιέχονται σε αυτή, ή ακόμη και να καταστρέψουν οτιδήποτε βρίσκουν, όπως φάνηκε και στις πρόσφατες επιθέσεις “Meow”.
Έρευνες που διεξήχθησαν νωρίτερα φέτος διαπίστωσαν ότι η εσφαλμένη διαμόρφωση αντιπροσωπεύει το 82% όλων των τρωτών σημείων ασφαλείας των οργανισμών σήμερα.
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/275204/friendemic-dierrefsan-3-ekatommyria-archeia-apo-tin-etaireia-digital-marketing-hpa/&media=https://cdn.secnews.gr/cb:90j0~424ea/w:auto/h:auto/q:mauto/ig:avif/f:best/id:c325c5997a9f0ec3206e9b9c23768af8/https://www.secnews.gr/32155834_1947933361883912_770163008553877504_o.png&description=Τρία εκατομμύρια αρχεία διέρρευσαν από την εταιρεία digital marketing των ΗΠΑ "Friendemic", λόγω λάθους στη διαμόρφωση του cloud.){kind=link}