数据泄露:俄克拉何马州公共安全部门和银行安保系统未设置密码

阅读量108737

|

发布时间 : 2016-07-18 13:44:28

x
译文声明

本文是翻译文章,文章来源:安全客

原文地址:http://news.softpedia.com/news/misconfigured-server-exposes-alarm-system-details-for-oklahoma-bank-and-dps-506291.shtml

译文仅供参考,具体内容表达以及含义原文为准。

https://p4.ssl.qhimg.com/t01f995cacaf1ebd91e.png

上周,美国俄克拉荷马州的一台CouchDB数据库服务器发生了数据泄露。在被曝光的数据中,包含了多栋俄州公共安全部门办公大楼,以及俄州Midfirst银行的内部安保系统的设置情况。上周末,相关安全人员迅速修复了这一数据库。

7月9日,Mackeeper安全研究员Chris Vickery率先发现了这一情况。他指出:这台发生数据泄露的数据库服务器是隶属于一家叫做Automation Intergrated的硬件安全服务供应商。经过调查后,Chris Vickery发现:这台服务器缺乏基本的安全保护机制,任何人在登录该服务器时,都不需要提供登录密码,无需进行身份验证,即可进入服务器,获取其中存储的数据。

https://p3.ssl.qhimg.com/t019fe00926ab5880df.png

该数据库中包含了很多机构的安保系统设置信息

Vickery说道,该数据库中包含了不同安保系统的相关设置信息,例如:警报系统采用的设备的型号、性能等参数、办公楼指纹解锁系统的设置信息、安保设备的安装位置和控制范围,以及系统的运行状态等私密数据。

与此同时,他还找到了几张关于介绍安保系统中相关设备的图片。图中涉及解锁设备、RFID(射频识别)门禁面板、门禁设备控制器以及其他一些安保设备等。

Vickery在电话中向Automation Intergrated公司的一位安全工程师,汇报了他所发现的情况。随后,他还通过发送电邮的方式,将上述图片传给了这名工程师,再一次确认了此次数据泄漏事件的真实性。

https://p0.ssl.qhimg.com/t013b5105020c220a77.png

相关的安全公司应如何应对类似的数据泄露事件?

在给Automation Intergrated汇报了相关情况的数小时之后,Automation Intergrated公司副总裁给Vickery回了一通电话。在电话中,该名副总裁代表他个人,向Vickery表示了感谢,感谢他及时向Automation Intergrated汇报了相关的情况,同时诚挚地邀请他参与到此次数据泄露事件的调查中来,进一步查明事件现在的影响情况。Automation Intergrated公司副总裁对此次事件的积极回应,给Vickery留下了深刻的印象。

Vickery表示,Automation Intergrated公司的这一积极的做法与之前uKonwKids公司的做法截然相反。在今年2月底,uKonwKids也发生过一起数据泄漏事件,而他也在第一时间向uKonwKids公司汇报了相关情况,但uKonwKids却表示,是Vickery对他们公司实施了网络攻击,造成了数据泄漏。但实际上,他只不过是发现了一起数据泄漏事件,却遭到了来自uKonwKids公司不怀好意的诬陷。

通过对泄漏数据的分析,Vickery发现,这些设备大多都被安装在警察局和银行中。情况还可能进一步恶化。

Vickery说到:“Automation Intergrated公司的这种处理方式值得称道。我的发现能给Automation Intergrated公司及时地解决这一事件带来帮助,对此,我感到非常荣幸。同时,我也在事件解决的第一时间,对此进行了报道。我非常赞赏Automation Intergrated公司副总裁对于事件的处理态度。对于类似的安全服务提供商来说,公司的设备遭到攻击,导致客户的数据发生泄漏,这很不幸,但在事故发生的第一时间,他们便积极地进行应对,寻找合理的解决方式,而不是推卸责任,这就是他们与其他公司的区别。这种诚恳的服务态度值得我们为他们点赞。在我看来,出了错不要紧,关键要敢于承担责任,弥补过错,这才是一家企业的生存之道,而现在,很多的安全服务提供商还没有认识到这一点。 我希望更多的安全公司能以Automation Intergrated公司为榜样,学习他们这种积极的处事态度。”

本文翻译自安全客 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
ResoLuT1On
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66