数据泄露:俄克拉何马州公共安全部门和银行安保系统未设置密码
上周,美国俄克拉荷马州的一台CouchDB数据库服务器发生了数据泄露。在被曝光的数据中,包含了多栋俄州公共安全部门办公大楼,以及俄州Midfirst银行的内部安保系统的设置情况。上周末,相关安全人员迅速修复了这一数据库。
7月9日,Mackeeper安全研究员Chris Vickery率先发现了这一情况。他指出:这台发生数据泄露的数据库服务器是隶属于一家叫做Automation Intergrated的硬件安全服务供应商。经过调查后,Chris Vickery发现:这台服务器缺乏基本的安全保护机制,任何人在登录该服务器时,都不需要提供登录密码,无需进行身份验证,即可进入服务器,获取其中存储的数据。
该数据库中包含了很多机构的安保系统设置信息
Vickery说道,该数据库中包含了不同安保系统的相关设置信息,例如:警报系统采用的设备的型号、性能等参数、办公楼指纹解锁系统的设置信息、安保设备的安装位置和控制范围,以及系统的运行状态等私密数据。
与此同时,他还找到了几张关于介绍安保系统中相关设备的图片。图中涉及解锁设备、RFID(射频识别)门禁面板、门禁设备控制器以及其他一些安保设备等。
Vickery在电话中向Automation Intergrated公司的一位安全工程师,汇报了他所发现的情况。随后,他还通过发送电邮的方式,将上述图片传给了这名工程师,再一次确认了此次数据泄漏事件的真实性。
相关的安全公司应如何应对类似的数据泄露事件?
在给Automation Intergrated汇报了相关情况的数小时之后,Automation Intergrated公司副总裁给Vickery回了一通电话。在电话中,该名副总裁代表他个人,向Vickery表示了感谢,感谢他及时向Automation Intergrated汇报了相关的情况,同时诚挚地邀请他参与到此次数据泄露事件的调查中来,进一步查明事件现在的影响情况。Automation Intergrated公司副总裁对此次事件的积极回应,给Vickery留下了深刻的印象。
Vickery表示,Automation Intergrated公司的这一积极的做法与之前uKonwKids公司的做法截然相反。在今年2月底,uKonwKids也发生过一起数据泄漏事件,而他也在第一时间向uKonwKids公司汇报了相关情况,但uKonwKids却表示,是Vickery对他们公司实施了网络攻击,造成了数据泄漏。但实际上,他只不过是发现了一起数据泄漏事件,却遭到了来自uKonwKids公司不怀好意的诬陷。
通过对泄漏数据的分析,Vickery发现,这些设备大多都被安装在警察局和银行中。情况还可能进一步恶化。
Vickery说到:“Automation Intergrated公司的这种处理方式值得称道。我的发现能给Automation Intergrated公司及时地解决这一事件带来帮助,对此,我感到非常荣幸。同时,我也在事件解决的第一时间,对此进行了报道。我非常赞赏Automation Intergrated公司副总裁对于事件的处理态度。对于类似的安全服务提供商来说,公司的设备遭到攻击,导致客户的数据发生泄漏,这很不幸,但在事故发生的第一时间,他们便积极地进行应对,寻找合理的解决方式,而不是推卸责任,这就是他们与其他公司的区别。这种诚恳的服务态度值得我们为他们点赞。在我看来,出了错不要紧,关键要敢于承担责任,弥补过错,这才是一家企业的生存之道,而现在,很多的安全服务提供商还没有认识到这一点。 我希望更多的安全公司能以Automation Intergrated公司为榜样,学习他们这种积极的处事态度。”