Beveiligingsbedrijf lekt klantgegevens via website
Door een "programmeerfoutje" waren dit weekend de gegevens van honderden klanten van Instant Messaging beveiliger FaceTime via de website van het bedrijf te downloaden. Het ging om bedrijfsnaam, namen van contactpersonen, e-mailadressen, telefoonnummers, adresgegevens, aantal werknemers en Instant Messaging netwerken.
De fout werd veroorzaakt door een script dat contactgegevens van potentiele klanten, benodigd voor het downloaden van whitepapers, naar een .csv bestand stuurde. Opmerkingen in het script verklapte de locatie van tenminste drie csv bestanden, die ook nog eens niet versleuteld waren. Daarnaast waren de bestanden zonder problemen voor iedereen te downloaden.
"We zijn nog steeds de oorzaak van dit probleem aan het onderzoeken. Wat we tot nu toe gevonden hebben, is dat de beveiliging die het openen van de csv bestanden moest blokkeren, was uitgeschakeld. We hebben de event logs bekeken, en hebben niets gevonden dat erop wijst dat dit is aangepast. We denken dat het installeren van een beveiligingsupdate of server update, de instellingen heeft aangepast," zo laat FaceTime in een reactie weten. Alle bedrijven en personen wiens gegevens in de bestanden stonden zijn inmiddels ingelicht.
Ja dit soort foutjes zie (ik) je wel meer
Een filetje wordt in een "temp" dir neergezet en
je kunt het dan
downloaden. Als je dan de moeite neemt om rechtstreeks in
die directory
te kijken dan komt het wel eens vor dat de rechten niet
helemaal jofel
staan en dat iedereen er in kan rondneuzen.
Net als met de proxy cache van bekende IT solution partners
vaak het geval is .....
voordat de update word toegepast.........
By Duncan Hothersall
Posted Wednesday 8th August 2007 18:07 GMT
I remember when we used MS servers that quite regularly a
patch would change a whole set of directory and file
permissions for no reason whatsoever. I'm not entirely
surprised that it's still happening.
But I would have thought that anyone who was serious about
security wouldn't even think about serving data from a
Windows box when free unix is out there. I mean, why would
you try to convert an outside crapper into a secure home
when they are giving away whole houses over the road?
http://www.theregister.co.uk/2007/08/08/facetime_contact_data_breach/comments/#c_44193
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
