Нещодавно компанія Lenovo визнала велику вразливість безпеки (CVE-2019-6160) і віднесла її до категоричного подвигу. Ця вразливість існувала в пристроях зберігання даних, підключених до мережі.

На жаль, експлуатація закінчилася викриттям даних тисяч користувачів із пристроями зберігання даних Lenovo-EMC. Дослідники з безпеки, які вивчали вплив, виявили, що недолік безпеки призвів до витоку даних у 36 ТБ.

У звіті «Вертикальна структура» зазначено, що дані 36 ТБ зберігаються приблизно в 13 000 файлах електронних таблиць.

Для виявлення витоків даних дослідники використовували пошукову систему для підключених до Інтернету пристроїв під назвою Shodan. Подальші дослідження показали, що приблизно 3030106 файлів були в індексі.

Ці файли містили величезну кількість чутливих фінансових реквізитів, таких як фінансові реквізити та інформація про кредитні картки.

Lenovo швидко випустила пластир

Великий вплив цього подвигу безпеки змусив Lenovo видати дорадчий характер. Виробник обладнання підтвердив, що це недолік безпеки вбудованого програмного забезпечення, який може спричинити витік даних.

Деякі пристрої зберігання дозволяють несанкціонованим користувачам отримувати доступ до ваших приватних файлів. Зловмисники можуть легко знайти вразливі пристрої та проникнути у дані, що зберігаються на цих пристроях.

Встановіть один із цих інструментів для злому, щоб хакери не потрапляли до ваших даних.

Дослідження далі розкрили той факт, що кількість постраждалих пристроїв LenovoEMC NAS або Iomega перевищує 5114.

Зокрема, більшість із цих постраждалих пристроїв досягли терміну їх закінчення. Це означає, що Lenovo більше не надає офіційну підтримку користувачам.

Встановіть останні оновлення програмного забезпечення зараз

Команда з платформи безпеки програми WhiteHat перевірила результати та повідомила Lenovo про вразливість. Lenovo швидко відреагував на це питання і відтяг постраждалих застарілих версій.

Компанія також випустила відповідний патч. Швидка відповідь була вирішальною, щоб клієнти могли продовжувати використовувати пристрої зберігання Lenovo.

Компанія Lenovo рекомендувала власникам постраждалих пристроїв завантажити та встановити останнє оновлення прошивки. В якості запобіжного заходу не слід використовувати пристрої зберігання даних в ненадійних інтернет-мережах.

Експерти оцінили Lenovo за вжиття необхідних заходів. Вони вважають, що за цим прикладом повинні слідувати інші компанії.