Ο Ιάπωνας προγραμματιστής παιχνιδιών Ateam έχει αποδείξει ότι ένα απλό λάθος διαμόρφωσης του Google Drive μπορεί να έχει ως αποτέλεσμα την πιθανή αλλά απίθανη έκθεση ευαίσθητων πληροφοριών για σχεδόν ένα εκατομμύριο άτομα σε διάστημα έξι ετών και οκτώ μηνών.
Η ιαπωνική εταιρεία είναι δημιουργός παιχνιδιών και περιεχομένου για κινητά, που περιλαμβάνει την Ateam Entertainment, η οποία διαθέτει πολλά παιχνίδια στο
Google Play
όπως π.
Πόλεμος των Λεγεώνων
,
Dark Summoner
,
Hatsune Miku – Πατήστε Wonder
και εργαλεία όπως
Διαγραφή μνήμης | Παιχνίδι Boost Master
και
Συναγερμός ύπνου καληνύχτας
.
Νωρίτερα αυτό το μήνα, το Ateam
ενημερωμένους χρήστες
των εφαρμογών και των υπηρεσιών, των εργαζομένων και των επιχειρηματικών συνεργατών της που στις 21 Νοεμβρίου
2023
ανακάλυψε ότι είχε ορίσει λανθασμένα μια παρουσία αποθήκευσης cloud του Google Drive σε “Όλοι στο διαδίκτυο με τον σύνδεσμο μπορούν να προβάλουν” από τον Μάρτιο του 2017.
Η μη ασφαλώς διαμορφωμένη παρουσία του Google Drive περιείχε 1.369 αρχεία με προσωπικές πληροφορίες για πελάτες της Ateam, επιχειρηματικούς συνεργάτες της Ateam, πρώην και νυν υπαλλήλους, ακόμη και ασκούμενους και άτομα που έκαναν αίτηση για μια θέση στην εταιρεία.
Η Ateam επιβεβαίωσε ότι 935.779 άτομα είχαν εκτεθεί τα δεδομένα τους, με το 98,9% να είναι πελάτες. Για την Ateam Entertainment συγκεκριμένα, έχουν εκτεθεί 735.710 άτομα.
Ανάλυση εκτεθειμένων ατόμων
(Μια ομάδα)
Τα δεδομένα που εκτίθενται από αυτήν την εσφαλμένη διαμόρφωση ποικίλλουν ανάλογα με τον τύπο της σχέσης που είχε κάθε άτομο με την εταιρεία και μπορεί να περιλαμβάνουν τα ακόλουθα:
- Πλήρη ονόματα
- Διευθύνσεις ηλεκτρονικού ταχυδρομείου
- Τηλεφωνικοί αριθμοί
- Αριθμοί διαχείρισης πελατών
- Αριθμοί αναγνώρισης τερματικού (συσκευής).
Η εταιρεία λέει ότι δεν έχει δει συγκεκριμένα στοιχεία ότι οι παράγοντες απειλών έχουν κλέψει τις εκτεθειμένες πληροφορίες, αλλά προτρέπει τους ανθρώπους να παραμείνουν σε επαγρύπνηση για αυτόκλητες και ύποπτες επικοινωνίες.
Ασφαλίστε τις
υπηρεσίες
cloud σας
Η ρύθμιση του Google Drive σε “Όποιος έχει τον σύνδεσμο μπορεί να προβάλει” το καθιστά ορατό μόνο σε όσους έχουν την ακριβή διεύθυνση URL, που συνήθως προορίζεται για συνεργασία μεταξύ ατόμων που εργάζονται με μη ευαίσθητα δεδομένα.
Εάν ένας υπάλληλος ή κάποιος άλλος με τον σύνδεσμο τον εξέθετε κατά λάθος δημόσια, θα μπορούσε να ευρετηριαστεί από τις μηχανές αναζήτησης και να γίνει ευρέως προσβάσιμος.
Αν και είναι απίθανο κάποιος να βρήκε μόνος του μια εκτεθειμένη διεύθυνση URL του Google Drive, αυτή η ειδοποίηση καταδεικνύει την ανάγκη των εταιρειών να ασφαλίσουν σωστά τις υπηρεσίες cloud τους για να αποτρέψουν την εσφαλμένη έκθεση των δεδομένων.
Είναι πολύ συνηθισμένο για τους παράγοντες απειλών και τους ερευνητές να βρίσκουν εκτεθειμένες υπηρεσίες cloud, όπως βάσεις δεδομένων και κουβάδες αποθήκευσης, και να κάνουν λήψη των δεδομένων που περιέχονται σε αυτές.
Ενώ οι ερευνητές συνήθως αποκαλύπτουν υπεύθυνα τα εκτεθειμένα δεδομένα, αν τα βρουν οι φορείς απειλών, μπορεί να οδηγήσει σε μεγαλύτερα προβλήματα καθώς τα χρησιμοποιούν για να εκβιάσουν εταιρείες ή να τα πουλήσουν σε άλλους χάκερ για να τα χρησιμοποιήσουν στις δικές τους επιθέσεις.
Το 2017, ο ερευνητής ασφαλείας Chris Vickery βρήκε εσφαλμένα διαμορφωμένους κάδους
Amazon
S3 που αποκάλυπταν βάσεις δεδομένων που περιείχαν 1,8 δισεκατομμύρια αναρτήσεις κοινωνικής δικτύωσης και φόρουμ που έγιναν από χρήστες σε όλο τον κόσμο.
Δέκα μέρες αργότερα, ο ίδιος ερευνητής ανακάλυψε έναν άλλο λανθασμένο κάδο S3 που εξέθεσε αυτό που φαινόταν ως διαβαθμισμένες πληροφορίες από το INSCOM.
Ενώ αυτές οι παραβιάσεις αποκαλύφθηκαν υπεύθυνα, άλλες εσφαλμένες διαμορφώσεις της υπηρεσίας cloud οδήγησαν στη διαρροή ή την πώληση των δεδομένων σε φόρουμ χάκερ.
Οι λανθασμένοι κάδοι Amazon S3 έχουν γίνει ένα αρκετά μεγάλο
πρόβλημα
που οι ερευνητές έχουν κυκλοφορήσει εργαλεία που σαρώνουν για εκτεθειμένους κάδους.
Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) έχει επίσης
κυκλοφόρησε καθοδήγηση
για εταιρείες σχετικά με το πώς να ασφαλίζουν σωστά τις υπηρεσίες cloud.
VIA:
bleepingcomputer.com
