Bilde: Teamblind
En sikkerhet tap på Blind, en anonym arbeidsplassen plattform stemplet som en måte for ansatte å rapportere upassende oppførsel, midlertidig utsatt sensitive brukerdata, TechCrunch rapporterte torsdag. Mens selskapet sa at det slettes data som er lagret på en av sine servere etter å ha blitt varslet til problemet, forfalle kan ha liggende fremme brukernes personlige informasjon, inkludert e-post-adresser, for uker.
Selskapet fortalte Gizmodo at det estimater rundt 10 prosent av sine brukere som var berørt.
Blind data ble først oppdaget av en sikkerhet forsker som går under navnet Mossab H, ifølge TechCrunch. Forskeren skal ha felles tilgang til data med reporter Zack Whittaker, som i sin tur varslet Blind dette onsdag. Selskapet sa etterpå at det umiddelbart slettet data.
Prosentandelen av Blinde brukere berørt i saken var beregnet, selskapet sa, basert på antall brukere som har logget seg i eller opprettet profiler mellom Nov. 1 og Desember. 19. En talsmann ville ikke røpe selskapets totale antall brukere, forteller Gizmodo at det var privilegert informasjon.
Selskapet sa via e-post, og under en telefonsamtale at de synlige data hadde blitt overført til et testmiljø i slekt å forbedre en feilsøking programmet. Under “normale” omstendigheter, er det sagt, en test data som ville ha vært “umiddelbart slettet eller kryptert” etter en slik overføring. Med hensyn til den lagrede passord, selskapet sa at den faktiske tjenesten lettelse opp på nyere, mer sikker algoritmer.
Kyum Kim, leder av AMERIKANSKE operasjoner på Teamblind, fortalte Gizmodo at den midlertidige loggene var ikke representativt for hvordan selskapet lagrer data “eller vår database.”
“Det var vår feil å bestemme deg for å lagre dem, uansett formål, og som ikke tar nok forsiktighet for å beskytte dem. Vi slettet alle data umiddelbart etter at vi fant ut,” Kim sa. “Vår politikk har alltid vært å sørge for at også vi kan ikke identifisere brukere, og over 90 prosent av brukerne som ikke har vært berørt, som er det samme, og deres e-post har aldri eksistert noe sted i vår database. Og det er sant at vi ikke kan identifisere hvem som helst, selv med full tilgang til våre servere.”
Ved læring av problemet, Blind angivelig begynte å melde sin berørte brukere via push-varslinger.
Selskapet er fortsatt gjennomgå loggene for å se hvem som—hvis noen uautorisert utover Whittaker og hans kilde—tilgang til data, Kim sa. På tidspunktet for skriving, er ingen ondsinnet aktivitet hadde blitt oppdaget.
I henhold til Whittaker, data ble utsatt på grunn av et usikret dashboard verktøy som brukes av bedrifter til å visualisere interne dokumenter og data. Mens e-postadresser som er lagret i ren tekst, passord ble angivelig lagres ved hjelp av den utdaterte hash-funksjon MD5, en algoritme for å kryptere passord anses som usikre i flere tiår. Whittaker bekreftet til Gizmodo at han lykkes unscrambled flere passord ved hjelp av et verktøy på nettstedet Crackstation.
“De data som ble utsatt representerer ikke hvordan vi lagrer data eller vår database,” Kim fortalte Gizmodo. “Vi lagrer ikke ren tekst e-post på vår database. Og vi ikke bruke MD5-kryptering for all data som er lagret i vår database.”
Selskapet la til at den digitale tokens angivelig oppdaget i data var knyttet til en tredjepart security solution, forteller Gizmodo det er “100 prosent sikker på at de har noe forhold til å logge inn eller få tilgang til kontoer, og dermed er ikke tilgangskoder.”
[TechCrunch]
Deler Denne Historien