2. Hírek
  3. Biztonság

Ezen a biztonsági résen terabájtnyi adatok szivárognak

Kutatók a lehetséges kockázatok egy eddig különösebb figyelmet nem kapó változatát vizsgálták, és döbbenetes eredményeket kaptak.

Az Appthority biztonsági cég tegnap kiadott jelentésében felfedik, hogy egy olyan sebezhetőségre találtak rá, amely lehetővé teszi, hogy egy támadó egy mobilalkalmazáson keresztül hozzáférhessen a vállalati adatbázisokhoz. A riport szerint a HospitalGown néven emlegetett rést több mint ezer alkalmazásban dokumentálták, 39 alkalmazás részletes vizsgálata azt mutatta meg, hogy óriási mennyiségű, mintegy 280 millió adatrekordhoz fértek hozzá – összességében a kutatók 43 terabájtnyi elérhető adatot találtak.

Mint felhívják rá a figyelmet, biztonsági szempontból itt komoly újdonságról van szó. Az adatvédelem a mobilalkalmazásoknál általában három fő területre fókuszál: biztonságosnak kell lennie az alkalmazásnak magának, a kódnak, védeni kell a mobileszközt, illetve fel kell készülni a hálózati fenyegetésekre, vagyis amikor az eszköz kommunikál a felhőben, hogy akkor ne tudják megszerezni az információkat.

Ám van egy szegmens, amire eddig nem nagyon vetült fény, mégpedig a háttérben meghúzódó adattároló szerverek, vagyis az, hogy a kommunikáció folyamán az alkalmazások és a szerverek kapcsolata mennyire biztonságos. A kutatók szerint a HospitalGown sérülékenység épp itt tapasztalható: az alkalmazás kódja biztonságos, az eszköz is védett, a hálózati forgalom is, ám mivel a backend szerverekhez a hozzáférés gyengén védett, az autentikációs hiányosságoknak köszönhetően az alkalmazások könnyedén hozzáférnek adattömegekhez.

 

Egy példa
[+]

 

Az Appthority szakemberei több mint egymillió esetben vállalati iOS-es és androidos alkalmazások hálózati forgalmát elemezték, és több mint 21 ezer „nyitott”, kellően nem védett szervert találtak. A résnek köszönhetően az alkalmazásokon keresztül hozzáférhetőek a vállalatok dolgozóinak személyes adatai, például jelszavak, tartózkodási helyek, utazási és fizetési részletek, a vállalati VPN-ekben használt PIN-kódok, e-mailek, telefonszámok, forgalmi adatok stb. Egyes esetekben azt is felfedezték, hogy illetéktelenek már rájöttek erre, és megszereztek vállalati adatokat.

Seth Hardy, az Appthority igazgatója közleményében hangsúlyozza, hogy a HospitalGown nem csak elméleti lehetőség, hanem valós kockázat, és a vállalkozások többségének az általuk ismertetett szemszögből is felül kell vizsgálnia adattárolási metódusát.

Azóta történt

Előzmények