無料のビデオストリーミングサービスであるKanopyは、ユーザーからの大量のデータリークを許可しています。 ウェブログデータベースの設定エラーにより、認証なしでそのコンテンツへのパブリックアクセスが許可されました。 リークは、情報セキュリティ研究者のJustin Paineによって発見されました。
専門家の推定によると、3月7日から、データベースの26から4,000万のログエントリがパブリックアクセスになる可能性があります。
どうした
Kanopyサービスは、古い映画、ドキュメンタリー、およびその他の種類のビデオコンテンツへの無料アクセスをユーザーに提供するために、図書館および公的機関と契約を結びます。
リークされたログには、ジオロケーション、タイムスタンプ、デバイスタイプ、IPアドレス、ユーザーが要求したページのURLなど、ユーザーに関する大量の情報が含まれていました。 Payneは、これでリソースのエンドユーザーのIDを明らかにするのに十分であると確信しています。 また、潜在的な攻撃者は、ユーザーがオンラインで閲覧しているコンテンツを見つけることができます。
現時点では、エラーは修正されており、不正アクセスのために公開された情報をだれもが使用しようとしたという情報はありません。 同時に、ペインは、ユーザーが見たものによっては、潜在的な攻撃者が恐blackを試みる可能性があると考えています。
カノピーだけでなく
この種のリークは最近頻繁に発生しています。 そのため、2019年の春に、ソーシャルネットワークFacebook は、数百万人のユーザーのパスワードが暗号化されていない形式で保存されていることを認識しました 。昨年、Instagram所有の写真サービスInstagramもデータリークを経験しました 。 また、ベセスダのゲーム開発者は、Fallout 76でプレイヤーの個人データを誤って漏らしたことを認めました。
インシデント調査プロジェクト中およびトラフィック分析中に、情報システムの構成における一般的なエラーと、情報セキュリティに関する企業規制の違反を定期的に検出します。 10の組織のうち9つでは、規模と範囲に関係なく、平文で送信されるパスワードとリモートアクセスユーティリティの使用の両方があります。 これはすべて、攻撃者が侵入して攻撃を仕掛ける可能性を大幅に高めます。
4月11日木曜日の無料ウェビナー中の14:00に、Positive Technologiesの専門家は、最も一般的な構成エラーとIS規制違反を分析し、 PT Network Attack Discoveryトラフィック分析システムを使用してそれらを迅速に検出する方法を示します。 学生はまた、組織のネットワーク衛生を改善するために何をする必要があるかを学びます。 ネットワーク管理者、情報セキュリティの専門家とそのマネージャー、およびPositive Technologiesのパートナーを招待します。
ウェビナーに参加するには、登録する必要があります 。