Исследователь Крис Викери (Chris Vickery) обнаружил очередную уязвимую базу данных. Хотя он находит подобные утечки с завидной регулярностью, этот случай несколько отличается от других. В базе CouchDB содержалась информация о безопасности объектов, принадлежащих Управлению общественной безопасности Оклахомы, а также данные компрометирующие безопасность здания банка Midfirst.
Официальный блог MacKeeper сообщает, что Викери обнаружил проблемную БД еще 9 июля 2016 года. Как вскоре выяснилось, уязвимый сервер CouchDB принадлежал частному охранному предприятию Automation Integrated. Из-за неправильной настройки, содержимое БД было доступно любому желающему, без всякого логина и пароля, что, учитывая специфику работы фирмы, действительно можно назвать большой проблемой.
Викери рассказал, что в базе содержалась такая конфиденциальная информация о клиентах Automation Integrated, как данные о производителях и моделях замков и охранных систем, места их установки, информация о сроках действия гарантии, и даже сведения о том, работает конкретная система безопасности или нет. Исследователь также обнаружил на сервере изображения, демонстрирующие охранные системы различных объектов, замки, панели доступа RFID и так далее. Примеры можно увидеть ниже.
Следуя обычному «протоколу», Викери предпринял попытку связаться инженерами Automation Integrated, позвонив в компанию, а также для верности отправив email, с описанием проблемы. Исследователь был несказанно удивлен, когда уже через несколько часов ему перезвонил лично вице-президент Automation Integrated и поблагодарил за работу. Дело в том, что зачастую Викери неделями не удается связаться с проштрафившимися компаниями, а некоторые вместо «спасибо» и вовсе угрожают подать в суд, как, к примеру, поступила компания uKnowKids.
«Это прекрасный пример реакции на инцидент, — пишет Викери. — Компании совершают подобные ошибки постоянно, и я бы хотел, чтобы больше компаний реагировали на случившееся также хорошо, как Automation Integrated».
Эксперт отмечает, что хранившаяся в базе данных информация о системах сигнализации и замках, в числе прочего, касалась полицейских участков, банков и других организаций, для которых утечка данных могла бы обернуться большими проблемами.