Доступ к личным данным 30 млн человек был защищен логином и паролем «admin, admin»
Крупнейший мобильный оператор Великобритании – компания EE, услугами которой пользуются более 30 млн пользователeй, занялся проблемой безопасности данных клиентов только после сообщения анонимного исследователя. Доступ к хранилищу данных EE, содержащему миллионы строк паролей, был защищен временными логином и паролем.
Как выяснил анонимный ИБ-специалист, основатель платформы Project Insecurity, известный под псевдонимом Six, на домене нижнего уровня EE был размещен портал Sonarqube, используемый для аудита кода и поиска уязвимостей на сайте и клиентском портале. Специалисты компании EE не поменяли исходный пароль и логин «admin» на портале, предоставив доступ к данным сотрудников и разработчиков, а также секретным ключам веб-сервисов Amazon. Если бы эти данные попали в руки хакеров, те смогли бы с их помощью внедриться глубоко в сервера компании, получив доступ к ценной частной информации клиентов.
Six написал в Twitter: «Вы доверяете этим людям данные своих кредитных карт, а они не заботятся ни о вашей безопасности, ни о сохранности конфиденциальности». Исследователь считает, что доступ к системе позволит хакерам использовать уязвимости в исходном коде и похитить платежные данные. Рассказ о доступе к порталу EE был опубликован в Twitter-канале Six. Он также поделился с изданием ZDNet, впервые опубликовавшим эту историю, скриншотами внутренних страниц портала EE, для подтверждения совершенного им доступа.
Представители компании EE заявили, что после получения информации об уязвимостях, поменяли логины и пароли, а также временно отключили сервис до проведения внутреннего расследования. В компании утверждают, что никакие данные клиентов не были поставлены под угрозу. Портал, о котором написал Six, использовался веб-разработчиками EE для отладки.
Специалисты EE уточняют: «Наш окончательный код затем проходит проверку отделом безопасности. В рабочей версии кода не содержится никакой информации, касающейся сетевой инфраструктуры или данных API, поскольку они хранятся в защищенных системах и меняются отдельной группой специалистов». «Мы очень серьезно относимся к безопасности данных наших клиентов и хотим поблагодарить исследователя за переданную нам информацию. Мы проведем тщательное расследование, чтобы подобное не случилось снова», - заявили в компании EE.