به رهبری نوام روتم و ران لوکار، تیم تحقیقاتی vpnMentor اخیراً کشف کردند که غول صوتی مصرفکننده Sennheiser به طور تصادفی یک حساب ابری قدیمی پر از دادههای مشتری را در فضای باز گذاشته است.
در حالی که به نظر میرسد حساب مورد نظر غیر فعال بوده است. از سال 2018، بیش از 28000 مشتری Sennheiser افشا شدند و اطلاعات خصوصی حساس به بیرون درز کرد. این نشان دهنده نظارت گسترده یک شرکت بزرگ، چند ملیتی و مشهور است. ]اندازه داده در گیگابایت
نمایه شرکت
Sennheiser در شهر Wedemark آلمان در سال 1945 توسط Dr.Ritznhe تأسیس شد. تا به امروز، این یک کسب و کار خصوصی و خانوادگی است که در Wedemark مستقر است.
این شرکت تجهیزات صوتی با کیفیت بالا را برای استفاده شخصی و تجاری، از جمله میکروفون، هدفون، تجهیزات ضبط، و هدست های هوانوردی تولید می کند.
. ]سنهایزر در بیش از 50 کشور در سراسر جهان فعالیت دارد، با تقریباً 2800 کارمند و گردش مالی سالانه 756.7 میلیون یورو در سال 2019. فروشندگان تماس گرفتند: 28 اکتبر 2021
درک یک نقض و تأثیر بالقوه آن نیازمند توجه دقیق و زمان است. ما سخت کار میکنیم تا گزارشهای دقیق و قابل اعتمادی را منتشر کنیم، و اطمینان حاصل کنیم که همه کسانی که آنها را میخوانند، جدیت آنها را درک میکنند. بنابراین، ما باید دقیق باشیم و مطمئن شویم همه چیزهایی که مییابیم درست و دقیق است.
در این مورد، Sennheiser از سطل S3 خدمات وب آمازون (AWS) برای ذخیره دادههای جمعآوریشده از عموم استفاده میکرد. از طریق فعالیت های مختلف خود سطل های S3 یک راه حل محبوب ذخیره سازی ابری سازمانی هستند. با این حال، این به کاربران بستگی دارد که تنظیمات امنیتی را به درستی تعریف کنند تا از داده های ذخیره شده در آن محافظت کنند.
Sennheiser نتوانست هیچ گونه تدابیر امنیتی را در سطل S3 خود اجرا کند، و محتویات را کاملاً در معرض دید قرار می دهد و به راحتی برای هر کسی که یک مرورگر وب دارد قابل دسترسی است. و مهارتهای فنی.
ما بهسرعت Sennheiser را بهعنوان مالک دادهها به دلیل چندین عامل، از جمله فایلهایی با نام شرکت و کارکنان Sennheiser که در زیرساختهای سطل فهرست شدهاند، شناسایی کردیم. نقض، ما با شرکت تماس گرفتیم تا به آن اطلاع دهیم و کمک خود را ارائه دهیم. سنهایزر چند روز بعد پاسخ داد و از ما خواست جزئیات یافته های خود را ارائه دهیم. ما نشانی اینترنتی منتهی به سرور ناامن را فاش کردیم و جزئیات بیشتری درباره محتوای آن ارائه کردیم. علیرغم عدم دریافت پاسخ مجدد از شرکت، سرور چند ساعت بعد ایمن شد.
نمونه ای از ورودی ها در سطل S3
Sennheiser از سطل S3 خود برای ذخیره بیش از 55 گیگابایت داده از بیش از 28000 مشتری استفاده می کرد. بین سالهای 2015 تا 2018.
در حالی که مشخص نیست این دادهها چگونه جمعآوری شدهاند، به نظر میرسد از مشتریان و کسبوکارهایی باشد که نمونههایی از محصولات Sennheiser را درخواست میکنند. در نتیجه، حجم وسیعی از دادههای اطلاعات شناسایی شخصی (PII) در معرض نقض قرار گرفت، از جمله:
- نامهای کامل
- آدرسهای ایمیل
- شماره تلفن
- آدرس منزل[1965] نمونهای از شرکتها[1965]
- تعداد کارمندان شرکت درخواستکننده
خرید وی پی ان