Bild: Teamblind
Ein Sicherheitslücken auf Blind, ein anonymer Arbeitsplatz-Plattform gebrandmarkt als eine Möglichkeit für Mitarbeiter, um Flagge Verhaltens vorübergehend ausgesetzt sensiblen Nutzer-Daten, TechCrunch berichtete am Donnerstag. Während die Firma sagte, es gelöscht, die gespeicherten Daten auf einem seiner Server nach alarmiert, um die Ausgabe, die verfallen gelassen haben könnte, ausgesetzt, persönliche Informationen von Nutzern, einschließlich Unternehmens-E-Mail-Adressen, für Wochen.
Das Unternehmen sagte Gizmodo, dass es Schätzungen sind rund 10 Prozent der Nutzer betroffen waren.
Blind Daten wurde zum ersten mal entdeckt, durch die ein Sicherheits-Forscher, die geht durch den Namen Mossab H, laut TechCrunch. Die Forscher berichten zufolge soll der gemeinsame Zugriff auf die Daten mit reporter-Zack Whittaker, der wiederum benachrichtigt Blind an diesem Mittwoch. Die Firma sagte später, dass es sofort die Daten gelöscht.
Der Anteil der Blinde Anwender betroffen, die in den Vorfall wurde berechnet, so das Unternehmen, basierend auf der Anzahl der Benutzer, die angemeldet hatte oder profile angelegt, die zwischen Nov. 1 und Dec. 19. Ein Sprecher würde nicht preiszugeben, die das Unternehmen insgesamt Anzahl der Nutzer, die sagen, Gizmodo, dass es privilegierte Informationen.
Das Unternehmen sagte, per E-Mail und in einem Telefonat, dass die ausgesetzt, die Daten wurden übertragen, um eine test-Umgebung im Zusammenhang mit der Verbesserung für die Problembehandlung Programm. Unter “normalen” Umständen, so hieß es, alle Testdaten gewesen wäre “sofort gelöscht oder verschlüsselt” nach einer solchen übertragung zu. Mit Bezug auf die gespeicherten Passwörter, die Firma sagte, dass seine eigentliche Leistung stützten sich auf neuere und sicherere algorithmen.
Kyum Kim, Leiter des US-Operationen in Teamblind, sagte Gizmodo, dass sich die temporären logs waren nicht repräsentativ, wie das Unternehmen speichert Daten “oder unsere Datenbank.”
“Es war unser Fehler, zu entscheiden, zu lagern, zu welchem Zweck auch immer, und sich nicht genügend Vorsicht, um Sie zu schützen. Wir gelöscht, alle Daten sofort nach fanden wir heraus,” Kim sagte. “Unsere Politik war immer, stellen Sie sicher, auch wir können Sie nicht identifizieren den Benutzer, und für über 90 Prozent der Benutzer, die nicht betroffen sind, ist nach wie vor die gleichen, und Ihre E-Mail hat es nie gegeben, überall in unserer Datenbank. Und es ist wahr, dass wir nicht erkennen können, wer auch mit vollen Zugriff auf unsere Server.”
Nach Bekanntwerden des Problems, Blinde berichten zufolge begann die Benachrichtigung der betroffenen Nutzer über push-Benachrichtigungen.
Das Unternehmen ist noch mit der Prüfung von Protokollen, um zu sehen, wer—wenn jemand unbefugtes über Whittaker und seine Quelle—der Zugriff auf die Daten, Kim sagte. Zu der Zeit des Schreibens, keine schädliche Aktivität erkannt wurde.
Nach Whittaker, der die Daten ausgesetzt war, durch eine ungesicherte dashboard-tool verwendet werden, von Unternehmen zu visualisieren, interne Dokumente und Daten. Während E-Mail-Adressen gespeichert wurden, im Klartext, die Passwörter waren angeblich gespeichert, die veraltete hash-Funktion MD5 ein Algorithmus für das scrambling Passwörter als unsicher für Jahrzehnte. Whittaker bestätigt Gizmodo, dass er erfolgreich mehrere Passwörter unverschlüsselt über ein tool auf der website Crackstation.
“Die Daten, die ausgesetzt war, nicht darstellen, wie wir Daten speichern oder unsere Datenbank,” Kim sagte Gizmodo. “Wir speichern keine nur-text-E-Mails, die in unserer Datenbank. Und wir verwenden keine MD5-Verschlüsselung für alle Daten, die in unserer Datenbank gespeichert.”
Das Unternehmen fügte hinzu, dass die digitalen tokens angeblich entdeckten in den Daten verknüpft wurden, um ein Drittanbieter-security-Lösung, sagt Gizmodo es ist “100 Prozent sicher, dass Sie keine Beziehung auf die Anmeldung oder den Zugriff auf die Konten, sind also nicht access Token.”
[TechCrunch]
Teilen Sie Diese Geschichte