Независимый специалист по информационной безопасности Боб Дьяченко (Bob Diachenko) обнаружил в облаке Amazon Web Services незащищенную базу данных MongoDB, доступную без авторизации, принадлежащую компании ABBYY.

БД содержала 142 Гб данных, в том числе различные отсканированные документы, начиная от соглашений о неразглашении информации и заканчивая контрактами и внутренними письмами. В общей сложности исследователь насчитал в базе более 200 000 файлов, очевидно, принадлежащих партнерам компании ABBYY, которые сканировали бумаги и держали их под рукой, в облаке. Названия некоторых файлов содержали пометки documentRecognition или documentXML, из чего исследователь и сделал вывод, что обнаруженная БД была частью инфраструктуры по распознаванию данных.

Установить, что база принадлежит компании ABBYY, Дьяченко сумел, изучив другой набор документов, содержавших имена пользователей (их роль играли корпоративные адреса электронной почты) и зашифрованные пароли.

Эксперт пишет, что уведомил представителей ABBYY о проблеме в середине августа 2018 года, и уже через два дня брешь была устранена. Но Дьяченко отмечает, что нельзя с точностью установить, как долго БД «сливала» данные, и советует считать все ее содержимое скомпрометированным.

В конце своей публикации Дьяченко приводит официальный ответ, полученный им от представителей ABBYY. В компании благодарят исследователя за бдительность и сообщают, что «временная утечка данных» коснулась лишь одного из клиентов ABBYY, не уточняя, кем именно был этот клиент. В ABBYY подчеркивают, что это был «единичный случай», и ведется расследование случившегося.

Оставить мнение