Wyciek Football Australia ujawnia dane zawodników
Australijski organ zarządzający piłką nożną, Football Australia, ujawnił tajne klucze, potencjalnie otwierając dostęp do 127 pakietów danych, w tym danych osobowych kupujących bilety oraz umów i dokumentów zawodników.
- Joanna Gościńska
- /
- 5 lutego 2024
Bramka samobójcza
Jeśli chodzi o bezpieczeństwo danych, Football Australia strzelił „bramkę samobójczą”. Jak odkrył zespół badawczy Cybernews, organizacja pozostawiła klucze Amazon Web Services (AWS) w postaci zwykłego tekstu – w tym klucze tajne – zakodowane na stałe na stronie HTML swojej subdomeny. Klucze AWS służą jako elektroniczny kod do komunikacji z platformą chmurową. Tymczasem tajny klucz jest kluczowym aspektem kluczy AWS, który służy jako środek dostępu i kontroli usług AWS organizacji.
Według zespołu klawisze tekstowe udostępnione przez Football Australia umożliwiły dostęp do oszałamiającej liczby 127 cyfrowych pojemników do przechowywania danych. Na przykład jeden publicznie dostępny segment zawierał dane osobowe. "Co więcej, jeden wiadro nie wymagał nawet uwierzytelnienia i zawierał dane osobowe, umowy i dokumenty piłkarzy” – twierdzą badacze.
1(22) 2024 SECURITY MAGAZINEMonika Świetlińska
Football Australia rozwiązało problem po tym, jak zespół poinformował o tym organizację. Z oficjalnego oświadczenia organizacji dotyczącego incydentu wynika, że Football Australia jest świadoma problemu i będzie na bieżąco informować „interesariuszy, gdy tylko ustalimy więcej szczegółów”.
„Football Australia jest świadoma raportów o możliwym naruszeniu bezpieczeństwa danych i priorytetowo bada tę sprawę” – stwierdziła organizacja. Według zespołu ujawnione dane obejmują: dane osobowe graczy, informacje o zakupie biletów, szczegóły infrastruktury wewnętrznej, kod źródłowy infrastruktury cyfrowej, skrypty infrastruktury cyfrowej.
„Chociaż nie możemy potwierdzić całkowitej liczby dotkniętych osób, ponieważ wymagałoby to pobrania całego zbioru danych, co byłoby sprzeczne z naszymi zasadami odpowiedzialnego ujawniania informacji, szacujemy, że problem dotyczył każdego klienta lub fana futbolu australijskiego” – twierdzą badacze. Zespół uważa, że najbardziej prawdopodobną przyczyną wycieku jest błąd ludzki, ponieważ programista prawdopodobnie nieumyślnie pozostawił odniesienie ukryte w publicznie dostępnym skrypcie. Niemniej jednak błąd stanowi krytyczne zdarzenie polegające na ujawnieniu danych.
126 segmentów danych
Zespół nie był w stanie określić dokładnej ilości danych ujawnionych w wyniku wycieku, ponieważ wymagałoby to naruszenia rygorystycznych zasad badacza białych kapeluszy. Jednak inżynieria wsteczna wskazuje, że ujawniony sekret może odblokować 126 segmentów danych.Co więcej, jedno z wiader pozostawiono całkowicie niezabezpieczone, co oznacza, że pozostawiono je publiczne i dostępne bez żadnych kluczy. W publicznym pojemniku do przechowywania danych cyfrowych znajdowały się paszporty i kontrakty piłkarzy.
Piłka na Euro 2024 z chipem informującym o zagraniach ręką i spalonych Joanna Gościńska
„Ujawnione dane, w tym umowy i dokumenty piłkarzy, stanowią poważne zagrożenie, ponieważ osoby atakujące mogą wykorzystać te informacje do kradzieży tożsamości, oszustwa, a nawet szantażu, co podkreśla pilną potrzebę ulepszonych praktyk i środków bezpieczeństwa w celu ochrony wrażliwych danych” – powiedział zespół. Football Australia to główny organ zarządzający australijską drużyną piłki nożnej, futsalu i piłki nożnej plażowej. Organizacja nadzoruje reprezentacje narodowe mężczyzn, kobiet, młodzieży, paraolimpijskich, plażowych i futsalu w Australii, krajowe programy trenerskie oraz stanowe organy zarządzające sportem.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?