Reading Time: 2 minutes
Data breach: Nokia expõe publicamente passwords e secret keys dos sistemas internos da companhia.

Outro dia, outra brecha – desta vez, a gigante Nokia que expõe dados altamente sensíveis de natureza industrial que colocam em risco sua segurança interna.

Os dados foram descobertos pelo diretor da equipa de investigação de cyber-risk da Hacken e Hackenproof, Bob Diachenko, no dia 13 de dezembro, enquanto fazia uma rotina de auditoria de segurança no Shodan.

A brecha de segurança envolveu uma série de dados, incluindo várias bases de dados internas, palavras-passe e chaves de acesso secreto (secreet keys) dos sistemas internos da Nokia, informou a Hackenproof num comunicado no seu blog.

hackenproof

 

Diachenko percebeu que essas informações leaked continham palavras-passe Heketi do contexto de um utilizador e de administração, uma palavra-passe Weave, uma secret key k8s, uma chave privada de um utilizador Gluster, chaves privadas SSH e RSA, uma chave cluster e chaves secretas AWS S3 etc.

nokia-exposes-passwords-secret-access-keys-2-768x556

 

Diachenko entrou em contacto com a Nokia por meio do formulário de contato presente no seu website, mas não recebeu nenhuma resposta da empresa. Em seguida, ele contactou as autoridades relevantes no Twitter, e como resultado, em 17 de dezembro, os dados desprotegidos foram protegidos e colocados off-line.

A equipa de segurança da Nokia, por outro lado, reconheceu o leak e afirmou que era apenas um “ambiente de teste”.

This particular AWS server was created some time ago by one of our developers for testing purposes. We can confirm that the server contains no sensitive information. That said, we’ll use this episode for own awareness training for Nokia R&D employees,” said Nokia.

 

No entanto, Diachenko pensa exatamente o contrário e sustenta que “Embora não se saiba se alguma informação dos clientes foi colocada em risco (já que os sistemas observados eram na sua maioria de natureza industrial), ainda há um grande risco desses dados serem expostos num servidor público desprotegido online, indexado por um mecanismo de pesquisa IoT.

“At the end of the day, we can not be 100% sure that this was a testing data, given the nature of the observed environment and the number of exposed passwords. It is also important to note that we did not try to use credentials against the services,” said Diachenko.

 

Este investigador tem feito um trabalho importante no contexto da privacidade das informações expostas online.

No início deste mês de dezembro, Diachenko descobriu 73 gigabytes de dados em servidores ElasticSearch configurados incorretamente, em que dados privados de mais de 82 milhões de cidadãos dos EUA estavam expostos sem qualquer proteção.