Интернет-провайдер хранил свои пароли и ключи в незашифрованном виде

[DOMINUS]

73 ГБ операционных данных вашингтонского интернет-провайдера хранились в незащищенном виде в облаке Amazon.​

В последнее время оставлять данные пользователей доступными в незащищенном виде через интернет стало чем-то вроде хорошего тона. По данным исследователей из UpGuard, очередная компания хранила данные своих клиентов в облаке Amazon без какой-либо защиты.

73 ГБ важных операционных данных вашингтонского интернет-провайдера Pocket iNet в течение нескольких месяцев хранились в некорректно сконфигурированном бакете Amazon S3 под названием pinapp2. Как выразились исследователи, бакет содержал «ключи от королевства», включая диаграммы внутренних сетей, снимки конфигураций сетевого оборудования, незашифрованные пароли и закрытые ключи AWS сотрудников Pocket iNet.

Списки паролей содержали учетные данные администраторов, предоставляющие доступ к используемым провайдером межсетевым экранам, маршрутизаторам, серверам и беспроводным точкам доступа.

«Документы с длинными списками паролей администратора могут быть весьма удобны, но они представляют собой собранную в одном месте угрозу для всего. Компрометация одного документа может оказать сильный эффект с далеко идущими последствиями для всего бизнеса. Если уж существование таких документов необходимо, то они должны быть защищены надежным шифрованием и храниться в известном защищенном месте», - отметили исследователи.

Незащищенный бакет был обнаружен 11 октября текущего года, и в тот же день исследователи уведомили об этом интернет-провайдера. На то, чтобы обезопасить данные, у компании ушла целая неделя.

Подробнее: https://www.securitylab.ru/news/496122.php​