Медиаресурс по трансляциям матчей по реслингу World Wrestling Entertainment объявил в четверг о компрометации базы с личными данными 3 миллионов подписчиков. Согласно заявлению компании, данные включают в себя фамилии, домашние и электронные адреса, сведения о доходах, национальность, возраст детей подписчиков, даты рождения и прочую личную информацию.

Представитель Центра по цифровой безопасности Kromtech (сотрудники которого обнаружили базу) заявил, что данные хранились незашифрованными на незащищенном облачном сервере Amazon Web Services S3. Он обвинил WWE (или организацию, отвечающую за цифровую безопасность ресурса) в неправильной настройке доступа к БД.

В официальном заявлении WWE на сайте Prowrestling.net говорится:

«Хотя скомпрометированные данные не включали в себя информацию о кредитных картах и пароли, и, следовательно, пользователи не были подвержены каким-то значительным рискам, WWE проводит расследование в отношении уязвимости базы данных в «облаке» Amazon. На данный момент безопасность обеспечена.

Представитель Prowrestling.net Джейсон Пауэл добавил, что «с точки зрения цифровой безопасности это «прокол» для WWE, который, безусловно, повредит ее имиджу».

Эта утечка данных — лишь самый недавний случай в череде похожих, обнаруженных Kromtech. Она — часть общего тренда неправильной настройки компаниями-владельцами параметров доступа на серверах Amazon. Так, в январе Kromtech нашла тысячи баз данных MongoDB, оставленных незащищенными случайно, причем, многие их них располагались в тех же «облаках» AWS S3 Amazon.

В феврале исследователи той же компании обнаружили в открытом доступе множество документов, принадлежащих организации по маркетингу и печати. В апреле — отыскали выложенную в онлайн личную информацию клиентов Калифорнийской компании по прокату автомобилей. Эти сведения содержали фамилии, адреса, кредитные рейтинги и часть номеров социального страхования порядка 1 миллиона человек и хранились в незащищенном виде. В январе Kromtech нашла в «паблике» 400 тысяч аудиофайлов, связанных с деятельностью неназванной компании по телемаркетингу из Флориды.

В июне еще один исследователь Крис Викери, аналитик по цифровым рискам компании UpGuard, заметил выложенные на сервер S3 Amazon профайлы 198 миллионов избирателей. В утечке оказалась виновна организация Deep Root Analytics, нанятая Республиканской партией США для поиска и обработки данных.

Что касается ситуации со скомпрометированной базой данных WWE, компания была поставлена в известность 4 июля репортером «Форбс», который, в свою очередь, узнал об этом от Kromtech. Как следует из отчета, размещенного на «Форбс», сведения содержали личные данные не только по 3 миллионам подписчиков World Wrestling Entertainment, но и по клиентам из Европы, делавшим покупки онлайн на сайте WWE.

Согласно отчету , база данных также «включала в себя огромное количество информации в первую очередь по европейским подписчикам, но в ней не было ничего иного кроме адресов, телефонных номеров и фамилий».

Из заявления WWE и отчета «Форбс» все еще не ясно, сумели ли злоумышленники воспользоваться утечкой и получить доступ к данным или нет.

Категории: Главное, Кибероборона, Уязвимости