Accueil La cyber-sécurité Internet américain a divulgué des années d’e-mails internes de clients – Krebs sur la sécurité

Internet américain a divulgué des années d’e-mails internes de clients – Krebs sur la sécurité

0
Internet américain a divulgué des années d’e-mails internes de clients – Krebs sur la sécurité
Internet américain a divulgué des années d’e-mails internes de clients – Krebs sur la sécurité


Le fournisseur Internet basé au Minnesota Société Internet américaine. a une unité commerciale appelée Sécurité, spécialisée dans la fourniture de services de messagerie filtrés et sécurisés aux entreprises, aux établissements d’enseignement et aux agences gouvernementales du monde entier. Mais jusqu’à ce qu’il soit notifié la semaine dernière, US Internet publiait plus d’une décennie de ses e-mails internes – et ceux de milliers de clients Securence – en texte brut sur Internet et à portée de clic pour toute personne disposant d’un navigateur Web.

Basé à Minnetonka, Minnesota, US Internet est un FAI régional qui fournit des services Internet par fibre optique et sans fil. La division Securence du FAI se présente comme « un fournisseur leader de logiciels de filtrage et de gestion de courrier électronique comprenant des services de protection et de sécurité du courrier électronique pour les petites entreprises, les grandes entreprises, les établissements d’enseignement et les établissements gouvernementaux du monde entier ».

US Internet/Secure indique que votre courrier électronique est sécurisé. Rien ne pourrait être plus éloigné de la vérité.

Il y a environ une semaine, KrebsOnSecurity a été contacté par Détenir la sécurité, une société de cybersécurité basée à Milwaukee. Fondateur de Hold Security Alex Holden a déclaré que ses chercheurs avaient découvert un lien public vers un serveur de messagerie Internet américain répertoriant plus de 6 500 noms de domaine, chacun avec son propre lien cliquable.

Une infime partie des plus de 6 500 clients qui ont fait confiance à Internet américain pour leur courrier électronique.

L’analyse de ces liens de domaine individuels a révélé des boîtes de réception pour chaque employé ou utilisateur de ces sites Web exposés. Certains des courriels exposés remontaient à 2008 ; d’autres étaient aussi récents qu’aujourd’hui.

Securence compte parmi ses clients des dizaines de gouvernements étatiques et locaux, parmi lesquels : nc.gov — le site officiel de Caroline du Nord ; stillwatermn.gov, le site Web de la ville de Stillwater, Minnesota ; et cityoffrederickmd.govle site Internet du gouvernement de Frédéric, MD.

Incroyablement, cet index géant des courriels des clients Internet américains contenait les messages internes de chaque employé actuel et ancien d’US Internet et de sa filiale. USI sans fil. Puisque cet index incluait également les messages des réseaux Internet américains PDG Travis CarterKrebsOnSecurity lui a transmis l’un des récents e-mails de M. Carter, accompagné d’une demande de comprendre exactement comment l’entreprise a réussi à gâcher les choses de manière aussi spectaculaire.

Les boîtes de réception individuelles des employés de US Wireless ont été publiées en texte clair sur Internet.

Quelques minutes après cette notification, US Internet a mis hors ligne toutes les boîtes de réception publiées. M. Carter a répondu et a déclaré que son équipe enquêtait sur la façon dont cela s’était produit. Dans le même souffle, le PDG a demandé si KrebsOnSecurity faisait du conseil en sécurité contre rémunération (ce n’est pas le cas).

[Author’s note: Perhaps Mr. Carter was frantically casting about for any expertise he could find in a tough moment. But I found the request personally offensive, because I couldn’t shake the notion that maybe the company was hoping it could buy my silence.]

Plus tôt cette semaine, M. Carter a répondu avec une explication très technique qui n’a finalement pas expliqué pourquoi ni comment tant de boîtes de réception internes et clients ont été publiées en texte brut sur Internet.

« Les commentaires de mon équipe posaient un problème avec le Manuel de jeu Ansible qui contrôle le Nginx configuration pour notre IMAP serveurs », a déclaré Carter, notant que cette configuration incorrecte a été mise en place par un ancien employé et n’a jamais été détectée. L’Internet américain n’a pas indiqué combien de temps ces messages ont été exposés.

« Le reste de la plateforme et les autres services backend sont en cours d’audit pour vérifier que les playbooks Ansible sont corrects », a déclaré Carter.

Holden a déclaré avoir également découvert que des pirates informatiques abusaient d’un service de nettoyage des liens et anti-spam de Securence appelé Bouclier d’URL pour créer des liens qui semblent anodins mais qui redirigent plutôt les visiteurs vers des sites Web piratés et malveillants.

« Les méchants modifient les rapports sur les liens malveillants en redirections vers leurs propres sites malveillants », a déclaré Holden. « C’est ainsi que les méchants génèrent du trafic vers leurs sites et améliorent leur classement dans les moteurs de recherche. »

Par exemple, cliquer sur le lien Securence affiché dans la capture d’écran directement ci-dessus mène à un site Web qui tente d’inciter les visiteurs à autoriser les notifications du site en présentant la requête comme une requête CAPTCHA conçue pour séparer les humains des robots. Après avoir approuvé la demande trompeuse de CAPTCHA/notification, le lien redirige le visiteur vers un nom de domaine internationalisé russe (рпроаг[.]рф).

Le lien vers ce site Web malveillant et trompeur a été créé à l’aide du service de nettoyage de liens de Securence. Les fenêtres contextuelles de notification ont été bloquées lorsque ce site a tenté de déguiser une invite d’acceptation des notifications sous une forme de CAPTCHA.

US Internet n’a pas répondu aux questions sur la durée pendant laquelle il expose tous ses e-mails internes et clients, ou sur la date à laquelle les modifications de configuration erronées ont été apportées. La société n’a toujours pas divulgué l’incident sur son site Internet. Le dernier communiqué du site remonte à mars 2020.

KrebsOnSecurity écrit sur les violations de données depuis près de deux décennies, mais celui-ci remporte facilement le gâteau en termes de niveau d’incompétence nécessaire pour commettre une erreur aussi énorme inaperçue. Je ne sais pas quelle devrait être la réponse appropriée des autorités ou des régulateurs à cet incident, mais il est clair qu’Internet américain ne devrait pas être autorisé à gérer le courrier électronique de qui que ce soit à moins et jusqu’à ce qu’il puisse faire preuve de plus de transparence et prouver qu’il a radicalement réorganisé son système. sécurité.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici