Souhrn
Bezpečnostní společnost watchTowr identifikovala rozsáhlý únik citlivých údajů, včetně hesel, API klíčů a přihlašovacích údajů k firemním systémům, které byly veřejně zveřejněny na různých internetových stránkách. Tento problém není izolovaný – opakovaně se objevuje v různých odvětvích, včetně finančního sektoru a státní správy.
Klíčové body
- Tým watchTowr objevil tisíce citlivých údajů volně přístupných na veřejných webech.
- Mezi úniky patří přihlašovací údaje k Active Directory banky, tajné klíče pro TLS/SSL certifikáty a zpětná vrátka v softwaru.
- Mnoho úniků vzniklo neúmyslně – například při testování, špatném nastavení repozitářů nebo neopatrném sdílení interních nástrojů.
- WatchTowr poukazuje na opakující se selhání v dodržování základních bezpečnostních postupů, i u profesionálních poskytovatelů kybernetické bezpečnosti (MSSP).
Podrobnosti
WatchTowr, britská společnost specializující se na aktivní testování bezpečnosti a odhalování zranitelností, publikovala další z řady svých výzkumů, které odhalují, jak běžně organizace neúmyslně zveřejňují citlivá data. V tomto případě šlo o přihlašovací údaje k interním systémům, včetně Active Directory banky, které byly zveřejněny na veřejně přístupném webu pravděpodobně novým zaměstnancem Managed Security Service Provideru (MSSP). Podobné případy zahrnovaly i zneužití opuštěných domén pro vydávání platných TLS/SSL certifikátů pro libovolnou doménu končící na .MOBI, nebo aktivaci skrytých zpětných vrátek v softwaru používaném státními institucemi.
Tyto úniky nejsou důsledkem sofistikovaných útoků, ale lidské nedbalosti, špatného vývojového procesu nebo absence základních bezpečnostních kontrol. WatchTowr zdůrazňuje, že i organizace, které se považují za odborníky na kyberbezpečnost, opakovaně dopouštějí základní chyb.
Proč je to důležité
Tento případ ukazuje, že největší hrozba pro kybernetickou bezpečnost často nepochází z externích útočníků, ale z vlastních řad – zejména z nedostatečného školení, absence bezpečnostní kultury a nevhodných postupů při práci s citlivými daty. Pro průmysl to znamená, že investice do pokročilých bezpečnostních nástrojů nestačí, pokud nejsou doprovázeny základními hygienickými opatřeními: správným nakládáním s hesly, používáním správců hesel, omezením přístupu k citlivým systémům a pravidelným auditováním veřejně zveřejněných zdrojů. Pro běžné uživatele je to připomínkou, že hesla nikdy nesmí být zadávána na neznámé nebo nespolehlivé webové stránky – a že „malý“ testovací formulář může být bránou pro masivní kompromitaci.
Zdroj: 📰 Watchtowr.com
| 