Бесплатный видеостриминговый сервис Kanopy допустил масштабную утечку данных своих пользователей. Ошибка конфигурации базы данных веб-логов открывала публичный доступ к ее содержимому без аутентификации. Утечку обнаружил исследователь информационной безопасности Джастин Пейн (Justin Paine).

По оценке эксперта, в публичный доступ, начиная с 7 марта могло попасть от 26 до 40 млн лог-записей из базы данных.

Что случилось


Сервис Kanopy заключает соглашения с библиотеками и общественными организациями, чтобы предоставить пользователям бесплатный доступ к старым фильмам, документальным картинам и видеоконтенту других типов.

Утекшие логи содержали большой объем информации о пользователях, вклюая геолокацию, временные метки, тип устройства, IP-адрес и URL запрашиваемых ими страниц. Пейн уверен, что всего этого достаточно для раскрытия личности конечного пользователя ресурса. Также потенциальные злоумышленники могли узнать, какой контент человек просматривал онлайн.

На данный момент ошибка устранена, также нет информации о том, что кто-либо попытался воспользоваться информацией, попавшей в публичных доступ, в недобросовестных целях. При этом, Пейн считает, что в зависимости от того, что именно смотрел пользователь, потенциальные злоумышленники могут попытаться пойти на шантаж.

Не только Kanopy


Утечки подобного рода в последнее время происходят все чаще. Так весной 2019 года соцсеть Facebook* признала факт хранения паролей миллионов пользователей в незашифрованном виде, в прошлом году принадлежащий компании фотосервис Instagram* также пережил утечку данных. Разработчики игр из Bethesda также признали, что допустили случайную утечку персональных данных игроков в Fallout 76.

Во время проектов по расследованию инцидентов и во время анализа трафика мы регулярно находим типичные ошибки в конфигурациях информационных систем и нарушения корпоративных регламентов, посвященных ИБ. В 9 из 10 организаций, независимо от их размера и сферы деятельности, встречаются как пароли, которые передаются в открытом виде, так и использование утилит удаленного доступа. Все это серьезно увеличивает шансы злоумышленников на взлом и развитие атаки.

В четверг, 11 апреля в 14:00 в ходе бесплатного вебинара эксперты Positive Technologies разберут самые популярные ошибки конфигураций и нарушения регламентов ИБ и покажут, как быстро обнаружить их с помощью системы анализа трафика PT Network Attack Discovery. Слушатели также узнают, что нужно сделать, чтобы повысить сетевую гигиену в организации. Приглашаем сетевых администраторов, специалистов по ИБ и их руководителей, а также партнеров Positive Technologies.

Для участия в вебинаре нужно зарегистрироваться.


* Facebook и Instagram принадлежат компании Meta Inc., которая признана экстремистской и запрещена в РФ.