0
0
Fornecedor de criptografia de empresas como Sony e Lexar deixou dados confidenciais expostos por mais de um ano
Arquivos de configuração e certificados de propriedade da empresa holandesa ENC Security estiveram expostos na internet pelo menos de de 27 de maio de 2021 até 9 de novembro de 2022. A solução da empresa é utilizada por 12 milhões de usuários em todo o mundo em dispositivos de fabricantes como SanDisk, Sony e Lexar. A descoberta foi feita pelo pesquisador Martynas Vareikis, do portal CyberNews, que notificou a empresa. Segundo publicação do portal, ela fornece soluções de “proteção de dados de nível militar” com seu software de criptografia DataVault.
Os dados dentro do servidor vazado incluíam credenciais de SMTP (Simple Mail Transfer Protocol) para canais de vendas, chaves da plataforma de pagamento Adyen, chaves de API do Mailchimp, chaves API de pagamento de licenciamento, códigos de autenticação de mensagem HMAC e chaves públicas e privadas armazenadas em formato .pem.
A ENC Security informou que uma configuração incorreta de um fornecedor terceirizado causou o problema e o corrigiu imediatamente após a notificação.
A empresa disse à Cybernews que o problema afetou 0,7% de seus usuários e não encontrou ” nenhum sinal ou vestígio de qualquer agente malicioso no respectivo período”.
A ENC Security lista Sony, Lexar, Sandisk e WD como grandes corporações que confiam nelas. No entanto, a empresa disse à Cybernews que “a Sony e a Lexar não são clientes ativos da ENC Security há mais de dois anos”.
O relatório de Martynas Vareikis está em “https://cybernews.com/security/encsecurity-leaked-sensitive-data/“
FONTE: CISO ADVISOR