Site do IEEE expõe nomes de usuários e senhas de 100 mil membros

Pesquisador encontrou brecha em servidor FTP que tornou públicas informações sigilosas de membros do Instituto de Engenheiros Elétricos e Eletrônicos.

Um pesquisador romeno disse que descobriu uma brecha de dados em um servidor FTP de propriedade do Instituto de Engenheiros Elétricos e Eletrônicos (IEEE), a qual expôs nomes de usuários e senhas de quase 100 mil membros.

O IEEE é uma associação profissional que defende a “excelência técnica” e tem cerca de 400 mil membros, juntamente com uma longa tradição de desenvolver consensos para importantes normas técnicas. Mas a manutenção do seu servidor pode ter tido falhas graves. “Os nomes de usuários e senhas em texto puro foram mantidos à disposição do público em seu servidor FTP por pelo menos um mês antes da minha descoberta”, afirma o pesquisador Radu Dragusin, cujo currículo indica que ele trabalha no Departamento de Ciência da Computação da Universidade de Copenhaguen como um assistente de ensino.

“Entre os quase 100 mil usuários comprometidos estão funcionários da Apple, Google, IBM, Oracle e Samsung, bem como de investigadores da NASA, Stanford, e muitos outros lugares”. Dragusin indica em sua postagem sobre a brecha no IEEE que ele primeiro a descobriu em 18 de setembro, e estava “incerto” sobre o que fazer com seu achado. Mas ele diz que compartilhou as informações com o IEEE e acredita ter “corrigido (ao menos parcialmente) o problema.”

O IEEE não estava imediatamente disponível para comentar sobre o incidente.

De acordo com o pesquisador, “o erro mais simples e mais importante por parte dos administradores do site foi que eles não restringiram o acesso aos seus registros de servidor web para ambos os endereços: ieee.org e spectrum.ieee.org, o que permitiu que estes pudessem ser vistos por qualquer um que fosse à :/ addressftp / ftp.ieee.org / uploads / Akamai.” (A página já foi apagada)

Dragusin acrescenta que as leis dos Estados Unidos e da Europa sugerem que o IEEE possa ser obrigado a notificar os usuários sobre a violação de dados.

O pesquisador também afirma em sua postagem que não planeja liberar os dados de registro para ninguém além do Instituto, e também não vai “ceder ao desejo de realizar uma análise de base de dados que, por acaso, foram adquiridos.” Ele acrescenta: “os logs do servidor Web nunca devem estar disponíveis ao público”, uma vez que geralmente contêm informações que possam ser usadas para identificar os usuários.

O vice-presidente de marketing da Agilent Technologies, Torsten George, diz que a parte mais perturbadora sobre a violação é que o IEEE aparentemente armazenou as senhas em um texto simples, em vez de usar algum tipo de criptografia. “Isso é algo que hoje realmente não deveria ocorrer”, ressalta. Ele também diz que foi surpreendente como o Instituto não restringiu o acesso ao servidor de FTP.

 

Por IDG Now! – Publicado em 27/09/2012

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s