ак минимизировать риски и научиться извлекать максимальную прибыль? Как научиться идентифицировать все устройства в своих сетях? Как правильно управлять идентификацией и доступом? Зарегистрируйтесь, чтобы бесплатно скачать электронную книгу об безопасной интеграции ОТ- и ИТ-сетей прямо сейчас. × Как защитить критическую инфраструктуру от киберпреступников?
ОТ-системы, управляющие оборудованием в КИИ - под серьезной угрозой. В 85% случаев они беззащитны даже перед повторными атаками одних и тех же зловредов. Всему виной - цифровизация, которая вынуждает ОТ- и ИТ-сети интегрироваться. Данные становятся ближе к оборудованию КИИ, а хакеры - к данным.
С какими угрозами борются компании с ОТ-сетями? Какие ОТ-протоколы чаще всего страдают от атак? У каких поставщиков ICS/SCADA есть иммунитет от преступников? Зарегистрируйтесь, чтобы скачать бесплатно исследование о тенденциях в сфере безопасности операционных технологий прямо сейчас. Миллионы домашних камер оказались беззащитны для взлома с устройств под iOS и Android 3436 Безопасность Бизнес Телеком 03.01.2020, Пт, 09:22, Мск , Текст: Роман ГеоргиевВ течение трех недель база данных, содержавшая информацию о клиентах производителя устройств интернета вещей Wyze, оставалась общедоступной. Снова речь идет о неправильно настроенной базе данных Elasticsearch.
Три недели общего доступаИзвестный во всем мире поставщик решений интернета вещей Wyze Labs признал, что данные значительного количества клиентов компании в течение трех недель лежали в открытом доступе. На одном из серверов компании была некорректно настроена база данных Elasticsearch, и это могло привести к компрометации данных 2,4 млн клиентов.
Wyze производит смарт-устройства для дома и беспроводные камеры, так что большая часть потенциальных жертв — частные пользователи.
По данным компании Twelve Security, база оказалась в открытом доступе 4 декабря 2019 г., и до 26 декабря оставалась общедоступной. Незащищенными оказались имена и почтовые адреса покупателей беспроводных камер Wyze, а также членов их семей, которым был предоставлен доступ к панели управления камерами, список всех камер, установленных в каждом конкретном доме, с информацией об их обозначении, модели и версии прошивки, SSID-идентификаторы сетей Wi-Fi, подробности относительно включения камер и входа в управляющие приложения, API-токены для 24 тыс. пользователей, подключивших свои устройства Alexa к камерам Wyze. Кроме того, в базе данных содержались приватные медицинские сведения о некоторой части пользователей. В Twelve Security утверждают, что в базе оказались такие подробности, как показатель плотности костей и ежедневные объемы потребления белков.
Производитель умных камер выложил в открытый доступ данные более двух миллионов своих клиентовЭксперты Twelve Security также указывают, что им удалось найти API-токены, которые позволят хакерам получать доступ к пользовательским аккаунтам Wyze с любого устройства под управлением iOS или Android.
Данные об утечке независимо подтвердили авторы блога IPVM, специализирующегося на инструментах для слежения.
Вы не дали нам шанса!Сооснователь Wyze Дуншен Сун (Dongsheng Song), со своей стороны, признал утечку, но отметил, что Twelve Security и IPVM раскрыли информацию об утечке, не дав Wyze времени исправить проблему. Вечером 26 декабря 2019 г. Wyze получила информацию от одного из авторов IPVM.com, а спустя 15 минут сообщение об этом инциденте уже было опубликовано в Twitter.
Более того, по словам Суна, далеко не все в публикации IPVM соответствует действительности: например, информация от Wyze не поступает в облако Alibaba в Китае, а что касается медицинской информации, то она была получена только от 140 участников бета-тестирования нового продукта, который разрабатывается в Wyze. В компании также отрицают сбор информации о костях и потреблении белков пользователей
По утверждению самой компании Wyze, база данных создавалась для внутреннего использования, а общедоступной оказалась из-за ошибки отдельно взятого работника.
У всех пользователей продуктов Wyze отозваны токены авторизации, то есть, им придется заново войти в панели управления своих устройств. Аннулирована также интеграция камер Wyze с Alexa, The Google Assistant и IFTTT: их понадобится переподключить заново. Кроме этого, компания меняет настройки безопасности у своих камер, так что в ближайшие дни их придется перезапускать.
«За прошедшие пару лет произошло множество инцидентов, когда в Сети обнаруживались общедоступные базы данных Elasticsearch, ставившие под угрозу от сотен тысяч до миллиардов записей разной степени конфиденциальности, — говорит Олег Галушкин, генеральный директор компании SEC Consult Services. — Все инциденты вызваны одной и той же проблемой: ошибками в настройках безопасности, допущенных сотрудниками претерпевших утечку организаций. Для поиска уязвимых баз вовсю используются технические средства, то есть автоматизированные поисковики, так что можно гарантировать неоднократное повторение подобных инцидентов».
Короткая ссылка РаспечататьДругие материалы рубрики
Основатель российской киберполиции: Почему интернет опаснее «Черкизона»
На всех смартфонах и планшетах Samsung обнаружилось шпионское ПО
Самый успешный ИТ-вымогатель 2019 года поставил под угрозу морские грузоперевозки
Власти вкладывают в кибербезопасность России 28 миллиардов, не решившись утроить эту сумму
Неизвестные выводят из строя устройства Cisco с помощью старого «бага»
Сотрудник крупного оператора устроил распродажу персональных данных россиян и избежал тюрьмы
Техника Как защитить свой дом с помощью систем безопасности: 4 простых шага Лучшие обогреватели для дома: выбор ZOOM Лучшие шуруповёрты для дома: выбор ZOOM Приложения для слежки за чужим смартфоном, за которые вам ничего не будет Показать еще Тема месяца Обзор: ИТ-тренды CNews 2020Индексы «ИТ-тренды CNews 2020» и «ИТ-тренды CNews 2020 Реальный сектор».