Der kostenlose Video-Streaming-Dienst Kanopy ermöglichte einen massiven Datenverlust seiner Benutzer. Ein Fehler in der Konfiguration der Weblog-Datenbank hat den öffentlichen Zugriff auf deren Inhalt ohne Authentifizierung ermöglicht. Das Leck wurde vom Informationssicherheitsforscher Justin Paine entdeckt.
Laut dem Experten könnten ab dem 7. März 26 bis 40 Millionen Protokolleinträge aus der Datenbank öffentlich zugänglich sein.
Was ist passiert
Der Kanopy-Dienst schließt Vereinbarungen mit Bibliotheken und öffentlichen Organisationen ab, um Benutzern den freien Zugang zu alten Filmen, Dokumentationen und anderen Arten von Videoinhalten zu ermöglichen.
Die durchgesickerten Protokolle enthielten eine große Menge an Informationen über Benutzer, einschließlich Geolokalisierung, Zeitstempel, Gerätetyp, IP-Adresse und URL der von ihnen angeforderten Seiten. Payne ist sich sicher, dass all dies ausreicht, um die Identität des Endbenutzers der Ressource preiszugeben. Potenzielle Angreifer konnten auch herausfinden, welche Art von Inhalten eine Person online ansah.
Im Moment wurde der Fehler behoben, und es gibt keine Informationen, die jemand versucht hat, die Informationen, die öffentlich zugänglich wurden, für unehrliche Zwecke zu verwenden. Gleichzeitig glaubt Payne, dass potenzielle Angreifer je nach dem, was der Benutzer gesehen hat, versuchen könnten, zu erpressen.
Nicht nur Kanopy
Leckagen dieser Art sind in letzter Zeit häufiger aufgetreten. Im Frühjahr 2019
erkannte das soziale Netzwerk von Facebook
die Tatsache, dass die Passwörter von Millionen von Nutzern unverschlüsselt gespeichert wurden. Im vergangenen Jahr kam es auch beim Instagram-eigenen Fotodienst Instagram
zu einem Datenleck. Spieleentwickler aus Bethesda gaben auch zu, dass sie versehentlich persönliche Daten von Spielern in Fallout 76 verloren haben.
Bei Vorfalluntersuchungsprojekten und bei der Verkehrsanalyse stellen wir regelmäßig typische Fehler in der Konfiguration von Informationssystemen und Verstöße gegen Unternehmensvorschriften zur Informationssicherheit fest. In 9 von 10 Organisationen gibt es unabhängig von ihrer Größe und ihrem Umfang sowohl Kennwörter, die im Klartext übertragen werden, als auch die Verwendung von RAS-Dienstprogrammen. All dies erhöht ernsthaft die Chancen von Angreifern, in einen Angriff einzudringen und ihn zu entwickeln.
Am Donnerstag, den 11. April um 14:00 Uhr , analysieren die Experten von Positive Technologies während eines kostenlosen Webinars die häufigsten Konfigurationsfehler und Verstöße gegen IS-Vorschriften und zeigen, wie sie mithilfe des Verkehrsanalysesystems PT Network Attack Discovery schnell erkannt werden können. Die Schüler lernen auch, was getan werden muss, um die Netzwerkhygiene in der Organisation zu verbessern. Wir laden Netzwerkadministratoren, Informationssicherheitsexperten und deren Manager sowie Partner von Positive Technologies ein.
Um am Webinar teilnehmen zu können, müssen Sie sich registrieren .