Foto: Getty
Dutzende von Servern mit Weight Watcher-Daten wurden ausgesetzt, nachdem das Unternehmen scheiterte an einem Passwort schützen, verwendete software für die Verwaltung von Anwendungs-Containern gemäß der deutschen cybersecurity-Firma Kromtech.
Ein Amazon-cloud-Infrastruktur verwendet, die von Weight Watchers war Links anfällig—46-Amazon S3-buckets insgesamt—einschließlich der Protokolle, Passwörter und private Schlüssel, Kromtech gefunden.
Weight Watchers bestreitet, dass die Daten Links öffentlich zugänglich war empfindlich; das Amazon-Konto verknüpft, um die Exposition wurde eine “Test-Umgebung nur verwendet, um den test neuer services und features,” Gewicht-Beobachter sagte in einem E-Mail an Gizmodo.
Bleeping Computer zum ersten mal meldete den Vorfall am Montag, sagte aber, dass Weight Watchers nicht geantwortet hatte auf eine Anfrage für Kommentar.
“Um testen zu können, die innovativ, sicher, wir halten test-Umgebungen vollständig getrennt von Produktionsumgebungen,” das Unternehmen sagte Gizmodo.
Weight Watchers fügte hinzu, dass seine internen team und einem Drittanbieter-Forensik-Unternehmen untersucht den Vorfall und, dass “jeder hat unabhängig bestätigt, dass es keinen Hinweis darauf, dass keine persönlich identifizierbaren Informationen, ausgesetzt war,” ein Sprecher sagte.
Ein Kromtech Sprecher sagte jedoch, die Forscher bleiben skeptisch. “Wir sind absolut glaube, es war ein produktionskonto,” sagte die Firma, die ausgegraben mehr als 560 Millionen Passwörter in einer unabhängigen Daten-Verletzung im letzten Jahr.
Die Belichtungszeit war das Ergebnis einer falsch konfigurierten Kubernetes-Instanz, Kromtech sagte. Kubernates ist ein tool, entwickelt von Google für die Verwaltung der großen Anzahl von Anwendungen. Vor allem, Kubernetes-Instanz auf Telsa cloud-Infrastruktur gehackt wurde früher in diesem Jahr, und dann durch die Täter zu mir kryptogeld.
Kromtech hat nicht versucht, den Zugriff auf die Daten aus rechtlichen Gründen, und war somit nicht in der Lage zu bestätigen, ob es zu empfindlich war. Die Firma sagte in seinem Bericht:
“Früher in diesem Monat Kromtech-Sicherheitsexperten entdeckten eine Kubernetes-Verwaltungskonsole Zugehörigkeit zu WeightWatchers, war über das Internet zugänglich ohne Passwort-Schutz.
“Das Kubernetes-cluster wurde gefunden, mindestens drei IP’ s mit einem kubelet port (10250) ausgesetzt, die den Zugang zu allen pod-Spezifikationen, einschließlich der AWS-Zugriffsschlüssel (access key ID und secret access key) und mehrere Dutzende von S3-buckets.”
“Wir haben sofort reagiert, das Problem zu beheben und umgesetzt haben Sicherheitsvorkehrungen, um zu verhindern, dass es wiederkehrende,” Weight Watcher sagte. “Wir schätzen die Bemühungen der security-Gemeinde macht verantwortungsvoll weitergeben, Bedenken zu verbessern den Zustand der Sicherheit im Internet.”
Haben Sie einen Tipp? E-Mail-die reporter: dell@gizmodo.com