Afbeelding: Teamblind
Een zekerheid vervallen op Blind, een anonieme werkplek platform gebrandmerkt als een manier voor werknemers om de vlag ongepast gedrag, tijdelijk blootgesteld gevoelige gegevens van de gebruiker, TechCrunch meldde het donderdag. Terwijl het bedrijf zei dat het verwijderd de gegevens die zijn opgeslagen op één van de servers na te zijn gewaarschuwd voor het probleem, het verloop kan hebben blootgesteld persoonlijke informatie van gebruikers, met inbegrip van zakelijke e-mail adressen, voor weken.
Het bedrijf vertelde Gizmodo dat het schattingen ongeveer 10 procent van de gebruikers werd beïnvloed.
Blind gegevens werd voor het eerst ontdekt door een security-onderzoeker die gaat door de naam Mossab H, volgens TechCrunch. De onderzoeker naar verluidt gedeelde toegang tot de gegevens met verslaggever Zack Whittaker, die op zijn beurt aangemelde Blind deze woensdag. Het bedrijf zei daarna dat het onmiddellijk verwijderd van de gegevens.
Het percentage van de Blinde gebruikers getroffen in het incident werd berekend, aldus het bedrijf, gebaseerd op het aantal gebruikers die ingelogd zijn of gemaakt profielen tussen Nov. 1 en Dec. 19. Een woordvoerder zou het niet bekendmaken van het totaal aantal gebruikers, het vertellen van Gizmodo dat het bevoorrechte informatie.
Het bedrijf zei dat door e-mail en tijdens een telefoon gesprek dat de blootgestelde gegevens was overgedragen aan een test omgeving met betrekking tot de verbetering van een programma voor probleemoplossing. Onder “normale” omstandigheden, het zei, alle test gegevens zou zijn geweest “onmiddellijk verwijderd of gecodeerd” na dergelijke overdracht. Met betrekking tot de opgeslagen wachtwoorden, het bedrijf zei dat het werkelijke dienst gebruikt die op nieuwere, meer veilige algoritmes.
Kyum Kim, hoofd van de AMERIKAANSE activiteiten op Teamblind, vertelde Gizmodo dat de tijdelijke logs waren niet representatief van hoe het bedrijf worden gegevens opgeslagen “of onze database.”
“Het was een fout van ons om te beslissen om ze op te slaan, voor welk doel, en niet het nemen van voldoende waarschuwing om hen te beschermen. We verwijderd alle gegevens meteen nadat we erachter,” zei Kim:. “Ons beleid is altijd geweest om ervoor te zorgen dat we zelfs niet kunnen identificeren van de gebruikers, en is voor meer dan 90 procent van de gebruikers die niet zijn aangetast, dat blijft hetzelfde en hun e-mail heeft nooit bestaan overal in onze database. En het is waar dat we niet kunnen identificeren iedereen, zelfs met volledige toegang tot onze servers.”
Bij het leren van het probleem, Blind naar verluidt begon de kennisgeving aan de betrokken gebruikers via push-notificaties.
Het bedrijf is nog steeds het bekijken van logbestanden om te zien wie—als iemand ongeoorloofd buiten Whittaker en zijn bron—toegang tot de gegevens, Kim zei. Op het moment van schrijven, geen schadelijke activiteit had waargenomen.
Volgens Whittaker, de gegevens zijn blootgesteld in verband met een onbeveiligd dashboard tool die wordt gebruikt door bedrijven voor het visualiseren van de interne documenten en gegevens. Terwijl de e-mail adressen zijn opgeslagen in leesbare tekst, wachtwoorden werden naar verluidt opgeslagen met behulp van de verouderde MD5 hash functie, een algoritme voor het klauteren wachtwoorden als onveilig beschouwd voor decennia. Whittaker bevestigd aan de Vlieger, die hij met succes unscrambled verschillende wachtwoorden met behulp van een tool op de website Crackstation.
“De gegevens die zijn blootgesteld vertegenwoordigt niet hoe we gegevens opslaan of onze database,” Kim vertelde Gizmodo. “We hebben geen winkel platte tekst e-mails in onze database. En wij maken geen gebruik MD5 versleuteling van alle data die is opgeslagen in onze database.”
Het bedrijf voegde eraan toe dat de digitale lopers naar verluidt ontdekt in de gegevens werden gekoppeld aan een derde beveiligings oplossing, het vertellen van Gizmodo, het is 100 procent zeker dat ze geen relatie om in te loggen of toegang tot de rekeningen, dus geen access-tokens.”
[TechCrunch]
Deel Dit Verhaal