Очередную уязвимую базу данных обнаружил исследователь Крис Викери. В базе CouchDB содержалась информация о безопасности объектов, принадлежащих Управлению общественной безопасности Оклахомы, а также данные компрометирующие безопасность здания банка Midfirst.
Викери обнаружил проблемную БД еще 9 июля 2016 года. Как вскоре выяснилось, уязвимый сервер CouchDB принадлежал частному охранному предприятию Automation Integrated. Из-за неправильной настройки, содержимое БД было доступно любому желающему, без всякого логина и пароля, что, учитывая специфику работы фирмы, действительно можно назвать большой проблемой.
Специалист рассказал, что в базе содержалась такая конфиденциальная информация о клиентах Automation Integrated, как данные о производителях и моделях замков и охранных систем, места их установки, информация о сроках действия гарантии, и даже сведения о том, работает конкретная система безопасности или нет. Исследователь также обнаружил на сервере изображения, демонстрирующие охранные системы различных объектов, замки, панели доступа RFID и так далее. Примеры можно увидеть ниже.
Следуя обычному «протоколу», Викери предпринял попытку связаться инженерами Automation Integrated, позвонив в компанию, а также для верности отправив email, с описанием проблемы. Исследователь был несказанно удивлен, когда уже через несколько часов ему перезвонил лично вице-президент Automation Integrated и поблагодарил за работу.
Эксперт отмечает, что хранившаяся в базе данных информация о системах сигнализации и замках, в числе прочего касалась полицейских участков, банков и других организаций, для которых утечка данных могла бы обернуться большими проблемами.
Викери обнаружил проблемную БД еще 9 июля 2016 года. Как вскоре выяснилось, уязвимый сервер CouchDB принадлежал частному охранному предприятию Automation Integrated. Из-за неправильной настройки, содержимое БД было доступно любому желающему, без всякого логина и пароля, что, учитывая специфику работы фирмы, действительно можно назвать большой проблемой.
Специалист рассказал, что в базе содержалась такая конфиденциальная информация о клиентах Automation Integrated, как данные о производителях и моделях замков и охранных систем, места их установки, информация о сроках действия гарантии, и даже сведения о том, работает конкретная система безопасности или нет. Исследователь также обнаружил на сервере изображения, демонстрирующие охранные системы различных объектов, замки, панели доступа RFID и так далее. Примеры можно увидеть ниже.
Следуя обычному «протоколу», Викери предпринял попытку связаться инженерами Automation Integrated, позвонив в компанию, а также для верности отправив email, с описанием проблемы. Исследователь был несказанно удивлен, когда уже через несколько часов ему перезвонил лично вице-президент Automation Integrated и поблагодарил за работу.
Эксперт отмечает, что хранившаяся в базе данных информация о системах сигнализации и замках, в числе прочего касалась полицейских участков, банков и других организаций, для которых утечка данных могла бы обернуться большими проблемами.
.JPG)
%20(1).png)