200 000 конфиденциальных файлов клиентов Abbyy были в открытом доступе

200 000 конфиденциальных файлов клиентов Abbyy были в открытом доступе

200 000 конфиденциальных файлов клиентов Abbyy были в открытом доступе

Некорректно сконфигурированный сервер MongoDB, принадлежащий Abbyy, разработчику решений в области распознавания текстов и лингвистики, открыл публичный доступ к файлам клиентов компании. Об этом сообщил независимый исследователь в области кибербезопасности Боб Дьяченко.

19 августа Дьяченко обнаружил базу данных, размещенную на облачной платформе Amazon Web Services (AWS). Эта база была размером 142 Гб, а доступ к ней был открыт без необходимости входа в систему.

Информация, содержащаяся в базе, включала отсканированные документы конфиденциального характера: контракты, соглашения о неразглашении, внутренние письма и пометки.

Всего исследователь насчитал 200 000 файлов клиентов Abbyy, которые в свое время отсканировали эти данные и загрузили в облако.

«Некоторые имена файлов вроде “documentRecognition” или “documentXML”, найденные в базе, наталкивают ан мысль о том, что они являются частью инфраструктуры предприятия», — пишет Дьяченко у себя в блоге.

Доказательством того, что это данные принадлежат Abbyy, служат поля, где перечислены имена пользователей и корпоративные адреса электронной почты. Там же можно было найти зашифрованные пароли.

Дьяченко уточнил, что спустя два дня после того, как он уведомил компанию, команда безопасности Abbyy ограничила доступ к конфиденциальным данным. Есть все основания полагать, что скомпрометированная информация могла попасть в руки третьих лиц.

Apple: экс-сотрудник использовал редкий баг для передачи данных OpenAI

Apple подала в суд на OpenAI, обвинив корпорацию в краже коммерческой тайны. Купертиновцы подозревают бывшего инженера Apple Чанга Лю, который после перехода в OpenAI якобы продолжал заходить во внутреннюю сеть прежнего работодателя и скачивал данные о ещё не выпущенных продуктах.

По версии Apple, Лю обнаружил редкую и ранее неизвестную ошибку аутентификации. Уязвимость позволяла ему получать доступ к корпоративному хранилищу уже после увольнения.

Apple утверждает, что за несколько недель Лю забрал десятки файлов с инженерными презентациями, техническими характеристиками и данными по закрытым проектам. Техногигант проверил серверные журналы и заявил, что дыру теоретически могли использовать ещё несколько человек, но следы эксплуатации нашли только у Лю.

Отдельный штрих — бывший сотрудник якобы не вернул рабочий ноутбук Apple и даже воспользовался компьютером знакомой, которая тогда ещё работала в корпорации, а позже тоже перешла в OpenAI.

В переписке Лю, как утверждается в иске, отреагировал на сохранившийся доступ фразой:

«LOL, я выяснил, что всё ещё могу зайти в хранилище, очень смешно».

Apple уже закрыла уязвимость и отключила доступ. Но вопрос остался неприятный: как человек после увольнения неделями мог ходить по внутренней сети компании, которая продаёт безопасность как часть своего бренда?

OpenAI ранее заявляла, что не заинтересована в чужих коммерческих тайнах. Теперь разбираться, кто что знал и кто что скачивал, будет суд присяжных в Калифорнии.

RSS: Новости на портале Anti-Malware.ru