El minorista Orvis.com filtró cientos de contraseñas internas en Pastebin

Orvis, un minorista con sede en Vermont que se especializa en equipos de pesca con mosca de alta gama y otros artículos deportivos, filtró cientos de contraseñas internas en Pastebin.com Durante varias semanas el mes pasado, KrebsOnSecurity descubrió las credenciales que la compañía usó para administrar todo, desde firewalls y enrutadores hasta cuentas de administrador y servidores de bases de datos. Orvis dice que la exposición fue involuntaria y que muchas de las credenciales ya habían expirado.

Con sede en Sunderland, VT. y fundada en 1856, Orvis es el minorista de pedidos por correo más antiguo de los Estados Unidos. La compañía tiene aproximadamente 1,700 empleados, 69 tiendas minoristas y 10 puntos de venta en los Estados Unidos, y 18 tiendas minoristas en el Reino Unido.

A finales de octubre, este autor recibió un consejo de la empresa de seguridad con sede en Wisconsin. Mantener la seguridad que un archivo que contenía un asombroso número de nombres de usuario internos y contraseñas para Orvis había sido publicado en Pastebin.

Alcanzado para comentar sobre la fuente del documento, el portavoz de Orvis Tucker Kimball dijo que solo estaba disponible por un día antes de que la compañía lo retirara de Pastebin.

«El archivo contiene credenciales antiguas, por lo que muchos de los dispositivos asociados con las credenciales están fuera de servicio y tomamos medidas para abordar las restantes», dijo Kimball. «Estamos aprovechando nuestras herramientas de seguridad existentes para llevar a cabo una investigación para determinar cómo ocurrió esto».

Sin embargo, según el fundador de Maintain Stability Alex Holden, este enorme archivo de contraseñas fue publicado en Pastebin en dos ocasiones separadas el mes pasado, el primero el 4 de octubre y el segundo el 22 de octubre. Ese hallazgo fue corroborado por 4iq.com, una compañía que agrega información de bases de datos filtradas en línea.

Orvis no respondió a las solicitudes de seguimiento de comentarios por teléfono y correo electrónico los últimos dos mensajes de correo electrónico enviados por KrebsOnSecurity a Orvis fueron devueltos simplemente como «bloqueados».

No es inusual que los empleados o contratistas publiquen datos confidenciales en sitios públicos como Pastebin y Github, pero el archivo de credenciales aparentemente publicado por alguien que trabaja en o para Orvis es, con mucho, el ejemplo más extremo que he presenciado.

Por ejemplo, en los archivos Pastebin de Orvis se incluyeron nombres de usuario y contraseñas de texto sin formato para casi todo tipo de servicio en línea o producto de seguridad que la compañía ha utilizado, incluidos:

-Motores antivirus
-Servicios de respaldo de datos
-Múltiples productos de firewall
-Linux servidores
-Enrutadores Cisco
-Datos de flujo de red
-Servicios de grabación de llamadas
-DNS controles
-Redes inalámbricas Orvis (públicas y privadas)
-Servicios de telefonía inalámbrica para empleados
-Servidores de bases de datos Oracle
-Microsoft 365 servicios
-Microsoft Active Directory cuentas y contraseñas
-Sistemas de respaldo de batería
-Cámaras de seguridad
-Certificados de cifrado
-Servicios de pago móvil
-Códigos de puerta y alarma
Credenciales de FTP
– Credenciales de ID de Apple
-Controladores de puerta

En todos los sentidos, esta fue una tontería completa: El archivo de credenciales de Orvis incluso contenía la combinación de una caja fuerte cerrada en la sala de servidores de la empresa.

La única pista sobre el origen del archivo de contraseña de Orvis es una anotación en la parte exceptional del documento que dice «Servicios técnicos de VT».

Holden dijo que esta exposición particular también destaca el problema con terceros, ya que el problema probablemente no se originó en el propio private de Orvis.

«Esta es una tendencia en continuo crecimiento de exposiciones creadas no por las víctimas sino por aquellas que consideran socios confiables», dijo Holden.

Es bastante notable que una empresa pueda gastar millones en toda la tecnología de seguridad bajo el sol y que todo se vea potencialmente socavado por una publicación mal aconsejada en Pastebin, pero esa es ciertamente la realidad en la que vivimos hoy.

Atrás quedaron los días en que uno podía publicar algo durante unas horas en un servicio público de alojamiento de documentos y esperar que nadie lo notara. Hoy en día, hay una serie de servicios de terceros que indexan y preservan regularmente dichas publicaciones, independientemente de cuán efímeras puedan ser esas publicaciones.

«Pastebin y otros repositorios similares se monitorean constantemente y cualquier información que se publique allí se conservará sin importar cuán breve sea la publicación», dijo Holden. “En el panorama actual de amenazas, vemos exposiciones de datos casi tan a menudo como vemos violaciones de datos. Estas exposiciones varían en alcance e impacto, y esta en specific es tan mala como viene sin exposiciones específicas de datos «.

Si es responsable de proteger el entorno de su organización, sería una excelente thought crear algunas herramientas para monitorear sus dominios y marcas en Pastebin, Github y otros sitios donde los empleados a veces publican datos corporativos confidenciales, sin darse cuenta o de otra manera. Hay muchas maneras de hacer esto aquí hay un ejemplo.

¿Ha creado herramientas de monitoreo para su organización o empleador? Si es así, no dude en hablar sobre su enfoque en los comentarios a continuación.


Etiquetas: alex holden, GitHub, Keep Stability, exposición de contraseña de Orvis, Orvis.com, Pastebin, Tucker Kimball

Esta entrada fue publicada el lunes 11 de noviembre de 2019 a las 12:33 pm y se archiva bajo A Minor Sunshine.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puedes saltar hasta el final y dejar un comentario. Pinging no está permitido actualmente.

Source hyperlink