Националният съвет по безопасност (NSC), организация с нестопанска цел, която обслужва хиляди компании, включително високопоставени организации и държавни институции, съхранява чувствителни клиентски данни в уеб директории, достъпни за обществен достъп.
Пропускът беше открит от изследователи на Cybernews, чиито изследователи казаха, че базата данни е била незащитена поне пет месеца.
NSC работи в САЩ и осигурява обучение по безопасност на работното място и шофиране. Изследователите твърдят, че организацията има почти 55 000 членове, включително 2000 организации. Сред тези организации са Siemens, Intel, HP, IBM, AMD, Ford, Toyota, Tesla и безброй други. Те обслужваха и правителствени организации, включително ФБР, Пентагона, Министерството на правосъдието, НАСА и много други.
Потенциални жертви на ransomware
Общо почти 10 000 имейла и пароли бяха хоствани в базата данни. Cybernews спекулира, че компаниите вероятно са имали акаунти в платформата за достъп до обучителни материали или за участие в различни събития, организирани от NSC.
Въпреки че в доклада не се посочва конкретно, че данните са били откраднати от злонамерена трета страна, изследователите предполагат тази възможност. Те твърдят, че идентификационните данни може да са били използвани за атаки с пълнене на идентификационни данни, фишинг и други. След това тези атаки биха довели до още по-опустошителни сценарии, като кражба на данни, ransomware и други подобни.
След като беше направено откритието, NSC коригира проблема, беше добавено.
„Наличието на среда за разработка, достъпна за обществеността, показва лоши практики за разработка“, казаха изследователите в своя доклад. „Такива среди трябва да се хостват отделно от домейна на производствената среда и трябва да се въздържат от хостване на действителни потребителски данни и, разбира се, не трябва да бъдат публично достъпни.“
Сред изтеклата информация бяха потребителски пароли, които бяха хеширани с помощта на SHA-512, алгоритъм, който обикновено се счита за сигурен. Паролите също бяха солирани, но тъй като солите бяха съхранени заедно с хешове на пароли и бяха кодирани само с base64, извличането на версията в обикновен текст на солта би било „тривиално“ за всеки опитен хакер, каза Cybernews.
„Разбиването на една парола, намерена в базата данни, може да отнеме до 6 часа“, заключават изследователите. „Това не означава, че всяка парола в намерената база данни може да бъде разбита, но е вероятно значителна част от тях да бъде.“
