免费的视频流服务Kanopy允许其用户大量泄漏数据。 Weblog数据库的配置错误使公众无需身份验证即可访问其内容。 泄漏是由信息安全研究员贾斯汀·潘恩发现的。
据专家称,从3月7日起,数据库中的26到4000万条日志条目可以进入公共访问。
发生什么事了
Kanopy服务与图书馆和公共组织签订协议,为用户提供免费观看旧电影,纪录片和其他类型的视频内容的权限。
泄漏的日志包含有关用户的大量信息,包括地理位置,时间戳,设备类型,IP地址和用户所请求页面的URL。 Payne确信这一切足以揭示资源最终用户的身份。 同样,潜在的攻击者可以找出一个人正在在线观看的内容。
目前,该错误已得到修复,并且没有任何信息表明有人试图将公开获取的信息用于不诚实的目的。 同时,Payne认为,根据用户所观看的内容,潜在的攻击者可能会尝试勒索。
不仅kanopy
最近,这种泄漏更频繁地发生。 因此,在2019年春季,Facebook社交网络
意识到数百万用户的密码以未加密形式存储
的事实,去年Instagram拥有的照片服务Instagram也
经历了数据泄漏。 贝塞斯达(Bethesda)的游戏开发人员也承认,他们不小心泄露了《辐射76》中玩家的个人数据。
在事件调查项目和流量分析期间,我们会定期发现信息系统配置中的典型错误以及违反公司信息安全法规的情况。 在十分之九的组织中,无论规模和范围如何,都有两种密码以明文方式传输和使用远程访问实用程序。 所有这些严重增加了攻击者闯入并发动攻击的机会。
在4月11日(星期四) 下午14:00的免费网络研讨会期间,Positive Technologies的专家将分析最流行的配置错误和违反IS规定的情况,并展示如何使用PT Network Attack Discovery流量分析系统快速检测到它们。 学生还将学习需要采取哪些措施来改善组织中的网络卫生状况。 我们邀请网络管理员,信息安全专家及其经理以及Positive Technologies合作伙伴。
要参加网络研讨会,您需要注册 。