Connect with us

אבטחת מידע ארגונית

פירצה בשרתי העדכון של ברקודה חושפת סיסמאות עובדים

פורסם

ב-

מומחה אבטחת המידע המצרי, איברהים הגזי @Zigoo0, חשף פרצת אבטחת מידע בניהול הסיסמאות, המאפשר גישה להרשאות עובדים.  הפרצה קשורה בשרתי העדכון של ברקודה.

ברקודה נטוורקס היא ספקית מוכרת של חומרה לסינון ספאם, אך היא גם מציעה טווח רחב של פתרונות הגנה כולל פיירוול ומערכות גיבוי. 

כאשר מנהל המערכת נדרש להגן על תיקיה באמצעות שכבת אימות שניה מעבר לזו שהתבצעה בנקודת הגישה, הוא יכול לעשות זאת במספר שיטות, שאחת מהן היא באמצעות קונפיגוציה של קבצי .htaccess ו- htpasswd. הגדרה מתאימה יכולה למנוע ממשתמש לבקר באזורים רגישים כגון מערכת ניהול. במקרה זה, הגולש מתבקש להכניס את סיסמת הגישה השמורה ב- htpasswd.

בעוד במצב רגיל הסיסמאות אמורות להיות מאוחסנות מחוץ לתיקיה הנגישה, אצל ברקודה היא אוחסנה בתוך תיקית הניהול ולכן הייתה נגישה לכל מי שניסה לגשת ישירות לקובץ.

הפרטים של עובדי ברקודה שמצא הגזי כוללים את עובדי הסניף הבריטי, אנשי מכירות, תמיכה, משתמשי שרת העדכון, מהנדסים ועובדים נוספים.

הגזי מציין כי מפליאה העובדה שהסיסמאות נשמרו בטקסט רגיל ולא מוצפן. הוא גם הופתע לגלות שברקודה לא מוכנה לשלם את התגמול שהיא מציעה במסגרת תוכנית התגמולים למציאת פרצות, בטענה שהפירצה אינה כלולה בתוכנית התגמולים שלה.

Advertisement
Continue Reading