Atvira duomenų bazė su atrasti neapsaugotais slaptažodžiais, netinkamam asmeniui išsiųsti COVID testo rezultatai ir apsauga nuo „Zoombombing“.

Sveiki atvykę į „Cyber ​​Security Today“. Tai lapkričio 18 d., Trečiadienis. Aš esu Howardas Solomonas, prisidedantis prie ITWorldCanada.com žurnalisto kibernetinio saugumo klausimais. Jei norite išgirsti tinklalaidę, spustelėkite rodyklę po:

 

Aplaidesnis darbas ką nors įtraukė į duomenų bazę. Šį kartą Teksase įsikūrusio interneto paslaugų teikėjo, vadinamo „Debesų klasteriais“, darbuotojas paliko žiniatinkliui atvirą subtilią duomenų bazę, prie kurios galėjo prisijungti bet kas. Joje buvo daugiau nei 63 milijonai duomenų. Žinios apėmė „Magento“ el. Prekybos ir „WordPress“ leidybos platformų paskyrų naudotojų vardus ir slaptažodžius. Kitos žinios apėmė pirkėjų IT technikos atsargines kopijas ir stebėjimo žurnalus. Ši klaida buvo atrasta paskutinį mėnesį saugos įmonės, vadinamos saugia mintimi, ir saugos tyrinėtojo ir kaip tik dabar viešinama. Nenustatyta, kiek laiko duomenų bazė buvo atidaryta, tačiau kažkas galėjo ją nukopijuoti, naudoti slaptažodžius, kad apgaule patektų į įmones ir atskleistų kenkėjiškas programas, įsigytų prekių ar užpultų „WordPress“ turinio medžiagą. Nesaugus saugumas leidžia bet kurios žiniatinklyje atidarytos įmonės duomenų bazės neapsaugoti slaptažodžiu. Laikyti nešifruotus jūsų individualios įmonės ar klientų slaptažodžius yra visiškai nesveika.

Kalbėdamas apie nešifruotas žinias, yra informacijos kad trumpalaikis Delavero valstybinės visuomenės gerovės skyriaus darbuotojas du kartus atsitiktinai atsiuntė el. laiškus ne tam asmeniui, kuriame buvo informacija apie nešifruotus asmenų COVID-19 testų rezultatus. El. Laiškai turėjo būti nukreipti į vieną kitą skyrių. Incidentas įvyko rugpjūtį, tačiau valstybė tik dabar tai pripažįsta. Nėra jokių duomenų apie tai, kaip įvyko klaida, tačiau yra dvi perspektyvos: arba darbuotojas neteisingai parašė tariamo gavėjo vardą, arba el. Pašto kontaktų įraše jie pasiekė neteisingą pavadinimą. Laimei, nebuvo padaryta žala: informaciją įsigijęs asmuo pranešė apie klaidą ir ištrynė informaciją. Gali būti ir blogiau. Nepažįstami žmonės, supratę, kas konstruktyviai ištyrė virusą, galbūt bandė juos išvilioti. Delavero gerovės skyrius teigė perkvalifikavęs darbuotojus dėl taikomų el. Pašto draudimo polisų ir procedūrų. Tikimės, kad įtraukta, kai informacija turi būti užšifruota. Tai dar vienas atvejis, kodėl jūs turite sulėtinti mokydamiesi, reaguodami į juos ar siųsdami el. Laiškus.

Galiausiai, kai kurie piktadariai mėgaujasi pertraukdami asmenines vaizdo konferencijas, jei mokės pinigus už surinkimo slaptažodžius ir URL. Dauguma ne taip seniai Gonzagos universiteto Juodųjų studentų sąjungos internetinė asamblėja Vašingtono valstijoje buvo nutrauktas trūkumų, kurie pasakė rasinius ir homofobinius šmeižtus. Šią savaitę „Zoom“ pristatė naują paslaugą siekiama sumažinti tikimybę, kad tai vyks jos platformoje. Kai organizuojate vaizdo konferenciją, hipersaitai turėtų būti nukreipti tik į tuos, kurie yra pakviesti ar užsiregistravę. Tačiau kai kurie nariai gali pateikti hipersaitą geram draugui socialinės žiniasklaidos paskyroje, tokioje kaip „Facebook“ ar „Twitter“. Jie mano, kad pranešimas yra asmeninis. Bet jų ar gero draugo sąskaita nebus. Jei kažkas pašalinis rado tą hipersaitą, jis papildomai dalyvaus. Norėdami kovoti su šiuo „Zoom“, dabar jis nuolat ieško žiniatinklio, ieškodamas viešai ten esančių „Zoom assembly“ hipersaitų. Suradęs tokį, jis praneša asamblėjos administratoriui, kad asamblėja yra pažeidžiama, kad būtų įsiskverbta. Tada administratorius, nustatydamas didesnį saugumą, gali nustatyti, ar surinkimas turi būti perkeltas iš naujo.

Štai ir šiandien kibernetiniam saugumui. Nuorodos į informaciją apie šias pasakas yra kiekvieno ITWorldCanada.com tinklalaidės tekstinio turinio modelyje. Čia jūs papildomai atrasite mano informacinius pasakojimus, skirtus įmonėms ir kibernetinio saugumo specialistams.

Kibernetinis saugumas šiandien gali būti girdimas pirmadieniais, trečiadieniais ir penktadieniais. Užsiprenumeruokite „Apple Podcasts“, „Google Podcasts“ arba pridėkite mus prie savo „Flash Briefing“ savo gero pranešėjo kalba. Ačiū, kad klausėte.

Ar jūs pasisakytumėte už šį tekstą?

Dėkojame, kad skyrėte laiko papasakoti, ką manote apie šį tekstą!
Norėtume išgirsti jūsų nuomonę apie šią ar kitą istoriją, kurią sužinojote mūsų leidinyje. Spustelėkite šią nuorodą, kad atsiųstumėte man pastabą →

Džimas Meilė, Kanados IT pasaulio vyriausiasis turinio vadovas


Susijęs atsisiuntimas
rėmėjas: KanadosCIO

Kibernetinio saugumo pokalbiai su valdyba - išgyvenimo vadovas
CLAUDIO SILVESTRI, PREZIDENTO IR CIO, NAV KANADOS IŠSAUGOJIMO VADOVAS
Atsisiųsti dabar