Huda malomarnost IEEE razkrila 100.000 uporabniških imen in gesel

IEEE Log - Spletne strani organizacije IEEE (Institute of Electrical and Electronics Engineers), ki skrbi za standardizacijo številnih standardov, so bile vsaj en mesec hudo ranljive, poroča Radu Dragusin na svojem blogu. Iz neznanih razlogov so uporabniške podatke (uporabniška imena in gesla) hranili v tekstovni obliki (plain text), datoteka s podatki več kot 100.000 oseb pa je bila prosto dosegljiva na njihovem FTP-strežniku, dokler ni Dragusin 18. septembra IEEE na to opozoril. Še več, dosegljive so bile tudi dnevniške datoteke z informaciji, kaj je posameznik v tem mesecu storil. IEEE je strežnike za silo zakrpal, Dragusin pa je objavil analizo zbranih podatkov.

Dnevniške datoteke vsebujejo podatke, s katerimi je mogoče identificirati uporabnike, zato ne bi smele biti nikoli prosto dostopno. IEEE je na strežnikih (ftp://ftp.ieee.org/uploads/akamai/) hranil ne le dnevniških datotek, ampak več kot 400.000 zapisov o uporabniškem imenu in geslu uporabnika, ki se je prijavil, in to v tekstovni obliki. Unikatnih zapisov je bilo skoraj 100.000. Povsem nerazumljivo je, zakaj je IEEE v dnevnikih beležil gesla. Naravnost kriminalno pa hranjenje gesel v nešifrirani obliki, saj tako kar kličemo k zlorabam. V primerjavi s temi malomarnostmi je odprt dostop do dnevniških datotek še najmanjša napaka (četudi resna).

Dragusin je iz omenjenih podatkov izdelal zanimivo statistiko, ki jo je predstavil na svojih straneh. Pogledal je najpogostejša gesla (spet več sto primerkov 123456, ieee2012, 12345678 itd.), razrez elektronskih naslovov po domenah, rabo brskalnikov in geografsko razpršitev.