Авторитетное научное издательство забыло обезопасить данные своих пользователей
Компания Elsevier хранила учетные данные пользователей на подключенном к интернету незащищенном сервере.
Один из крупнейших научных издательских домов в мире Elsevier хранил учетные данные и пароли пользователей на подключенном к интернету незащищенном сервере, доступ к которому мог получить любой желающий. Среди пользователей Elsevier – сотрудники университетов и других учебных заведений по всему миру. Как долго сервер оставался незащищенным, неизвестно, пишет Motherboard. По словам исследователя компании SpiderSilk Моссаба Хуссейна (Mossab Hussein), обнаружившего проблему, большинство паролей относятся к учетным записям .edu и принадлежат преподавателям и студентам учебных заведений. Вполне вероятно, что эти же учетные данные используются ими и в других сервисах, например, в iCloud.
Хранящиеся на сервере данные отображаются через Kibana – популярный инструмент для визуализации и сортировки данных. Журналисты Motherboard попросили Хуссейна сбросить собственный пароль и вместо него установить предоставленную ими фразу. Через несколько минут фраза появилась на сервере в незашифрованном виде, а значит, утечка подлинная.
После того, как журналисты издания обратились к Elsevier за комментариями, компания закрыла доступ к серверу. По словам представителей Elsevier, в настоящее время ведется расследование инцидента, но вероятнее всего, сервер остался открытым по ошибке. Никаких сообщений о несанкционированном использовании данных компания не получала.
