Institutul de Inginerie Electrica si Electronica (IEEE) a stocat username-urile si parolele utilizatorilor sai intr-un fisier text simplu de pe un server accesibil publicului.
Un fisier text simplu care continea aproape 100.000 de date de logare a fost accesibil pe un server FTP al IEEE.org pentru cel putin o luna, inainte de a fi fost descoperit pe 18 septembrie de Radu Dragusin, un asistent de predare in cadrul facultatii de informatica de la Universitatea din Copenhaga, Danemarca. Fisierul continea username-urile si parolele unor fosti angajati de la companii precum Apple, Google, IBM, Oracle si Samsung, precum si al unor cercetatori de la NASA, Universitatea Stanford si alte institutii, a scris Dragusin.
In plus fata de expunerea username-urilor si parolelor membrilor IEEE, serverul FTP continea si logurile site-ului ieee.org si logul de activitate al vizitatorilor de pe spectrum.ieee.org, a spus Dragusin. Se pare ca administratorii web ai IEEE "nu au reusit sa restrictioneze accesul" la logurile serverului web ale ambelor site-uri, fapt care a permis oricui sa poata vizualiza continutul.
Logurile serverelor web nu ar trebui sa fie niciodata accesibile in mod public, deoarece aceste fisiere contin, in general, informatii care pot fi utilizate pentru a identifica utilizatorii si pentru a urmari obiceiurile lor de navigare. Se pare ca IEEE a rezolvat intre timp aceasta problema de securitate, deoarece fisierele nu mai sunt disponibile.
Un fisier text simplu care continea aproape 100.000 de date de logare a fost accesibil pe un server FTP al IEEE.org pentru cel putin o luna, inainte de a fi fost descoperit pe 18 septembrie de Radu Dragusin, un asistent de predare in cadrul facultatii de informatica de la Universitatea din Copenhaga, Danemarca. Fisierul continea username-urile si parolele unor fosti angajati de la companii precum Apple, Google, IBM, Oracle si Samsung, precum si al unor cercetatori de la NASA, Universitatea Stanford si alte institutii, a scris Dragusin.
In plus fata de expunerea username-urilor si parolelor membrilor IEEE, serverul FTP continea si logurile site-ului ieee.org si logul de activitate al vizitatorilor de pe spectrum.ieee.org, a spus Dragusin. Se pare ca administratorii web ai IEEE "nu au reusit sa restrictioneze accesul" la logurile serverului web ale ambelor site-uri, fapt care a permis oricui sa poata vizualiza continutul.
Logurile serverelor web nu ar trebui sa fie niciodata accesibile in mod public, deoarece aceste fisiere contin, in general, informatii care pot fi utilizate pentru a identifica utilizatorii si pentru a urmari obiceiurile lor de navigare. Se pare ca IEEE a rezolvat intre timp aceasta problema de securitate, deoarece fisierele nu mai sunt disponibile.
Niciun comentariu:
Trimiteți un comentariu