Billede: Teamblind
En sikkerhed bortfalder på Blind, en anonym arbejdsplads-platform stemplet som en måde for medarbejderne at flag forkert adfærd, midlertidigt udsat følsomme brugerdata, TechCrunch rapporteret torsdag. Mens selskabet sagde, at det, slettes de data, der er gemt på en af deres servere efter at være blevet advaret om, at spørgsmålet bortfalder, kan have forladt udsat brugernes personlige oplysninger, herunder virksomhedens e-mail-adresser, til uger.
Virksomheden fortalte Gizmodo, at det skøn, omkring 10 procent af brugere var ramt.
Blind data blev først opdaget af en sikkerhedsekspert, der går under navnet Mossab H, ifølge TechCrunch. Den forsker, der efter sigende fælles adgang til de data, der med journalist Zack Whittaker, der til gengæld meddelt Blind denne onsdag. Selskabet sagde bagefter, at det straks slettet data.
Andelen af Blinde brugere, der er berørt i hændelsen blev beregnet, sagde selskabet, baseret på antallet af brugere, der var logget ind eller oprettet profiler mellem Nov. 1 og Dec. 19. En talsmand ikke ville videregive virksomhedens samlede antal brugere, der fortæller Gizmodo, at det var privilegerede oplysninger.
Selskabet sagde, via e-mail, og i løbet af en telefonsamtale, at de udsatte dataene var blevet overført til et test miljø, der er relateret til en forbedring af et fejlfinding program. Under “normale” omstændigheder, der sagde, at enhver test data ville have været “straks slettet eller krypteret” efter sådan en overførsel. Med hensyn til den lagrede adgangskoder, selskabet sagde, at de faktiske service stolede på nyere, mere sikker algoritmer.
Kyum Kim, chef for USA ‘ s operationer på Teamblind, fortalte Gizmodo, at den midlertidige logs ikke var repræsentative for, hvordan virksomheden gemmer data “eller i vores database.”
“Det var vores fejl at vælge at gemme dem, for uanset hvad formål, og ikke er forsigtig nok til at beskytte dem. Vi slettet alle data umiddelbart efter vi fandt ud af,” sagde Kim. “Vores politik har altid været at sørge for, selv om vi ikke kan identificere brugerne, og for over 90 procent af de brugere, der ikke er blevet berørt, at der fortsat er den samme, og deres e-mail har aldrig eksisteret overalt i vores database. Og det er rigtigt, at vi ikke kan finde nogen selv, med fuld adgang til vores servere.”
Ved at lære af problemet, Blind angiveligt begyndte at anmelde sit berørte brugere via push-meddelelser.
Virksomheden er stadig at gennemgå logfiler for at se, hvem—hvis nogen uautoriseret ud over Whittaker og hans kilde—adgang til de data, Kim sagde. På tidspunktet for skrivning, ingen skadelig aktivitet var blevet opdaget.
Ifølge Whittaker, de data, der blev udsat på grund af en usikrede dashboard værktøj, der anvendes af virksomheder til at visualisere interne dokumenter og data. Mens e-mail-adresser, der gemmes i almindelig tekst, adgangskoder angiveligt blev gemt ved hjælp af den forældede MD5 hash-funktion, en algoritme for travlt med adgangskoder betragtes som usikre i årtier. Whittaker bekræftet, at Gizmodo, at han havde held til at afkode flere passwords ved hjælp af et værktøj på hjemmesiden Crackstation.
“De data, der blev udsat repræsenterer ikke, hvordan vi lagrer data eller vores database,” Kim fortalte Gizmodo. “Vi må ikke opbevares almindelig tekst e-mails på vores database. Og vi behøver ikke bruge MD5 kryptering for eventuelle data, der er lagret i vores database.”
Selskabet tilføjede, at den digitale kuponer, angiveligt har opdaget i de data, der var knyttet til en tredjepart security-løsning, fortæller Gizmodo, at det er “100 procent sikker på, at de ikke har relation til login eller adgang til konti, som således ikke har adgang til poletter.”
[TechCrunch]
Dele Denne Historie