Layanan streaming video gratis Kanopy memungkinkan kebocoran besar data dari penggunanya. Kesalahan dalam konfigurasi database weblog membuka akses publik ke kontennya tanpa otentikasi. Kebocoran itu ditemukan oleh peneliti keamanan informasi Justin Paine.
Menurut ahli, mulai 7 Maret, dari 26 hingga 40 juta entri log dari database dapat masuk ke akses publik.
Apa yang terjadi
Layanan Kanopy mengadakan perjanjian dengan perpustakaan dan organisasi publik untuk memberi pengguna akses gratis ke film-film lama, dokumenter, dan jenis konten video lainnya.
Log yang bocor berisi sejumlah besar informasi tentang pengguna, termasuk geolokasi, cap waktu, jenis perangkat, alamat IP, dan URL halaman yang diminta oleh mereka. Payne yakin bahwa semua ini cukup untuk mengungkapkan identitas pengguna akhir sumber daya. Selain itu, penyerang potensial dapat mengetahui konten apa yang dilihat seseorang secara online.
Saat ini, kesalahan telah diperbaiki, juga tidak ada informasi bahwa seseorang mencoba menggunakan informasi yang masuk ke akses publik untuk tujuan yang tidak jujur. Pada saat yang sama, Payne percaya bahwa tergantung pada apa yang ditonton pengguna, penyerang potensial mungkin mencoba memeras.
Bukan hanya kanopy
Kebocoran seperti ini telah terjadi lebih sering belakangan ini. Jadi pada musim semi tahun 2019, jejaring sosial Facebook
mengakui fakta bahwa kata sandi jutaan pengguna disimpan dalam bentuk yang tidak dienkripsi, tahun lalu layanan foto milik Instagram Instagram juga
mengalami kebocoran data. Pengembang game dari Bethesda juga mengakui bahwa mereka secara tidak sengaja membocorkan data pribadi pemain di Fallout 76.
Selama proyek penyelidikan insiden dan selama analisis lalu lintas, kami secara teratur menemukan kesalahan tipikal dalam konfigurasi sistem informasi dan pelanggaran peraturan perusahaan tentang keamanan informasi. Dalam 9 dari 10 organisasi, terlepas dari ukuran dan cakupannya, ada kata sandi yang dikirimkan secara jelas dan penggunaan utilitas akses jarak jauh. Semua ini dengan serius meningkatkan peluang penyerang untuk membobol dan mengembangkan serangan.
Pada hari Kamis, 11 April pukul 14:00 selama webinar gratis, pakar Positive Technologies akan menganalisis kesalahan konfigurasi yang paling populer dan pelanggaran peraturan IS dan menunjukkan cara cepat mendeteksi mereka menggunakan sistem analisis lalu lintas PT Network Attack Discovery . Siswa juga akan belajar apa yang perlu dilakukan untuk meningkatkan kebersihan jaringan di organisasi. Kami mengundang administrator jaringan, pakar keamanan informasi dan manajer mereka, serta mitra Positive Technologies.
Untuk berpartisipasi dalam webinar, Anda harus mendaftar .