OWASP ostrzega przed wyciekiem

OWASP ostrzega swoich członków przed możliwym wyciekiem danych – zagrożone są osoby, które należały do organizacji pomiędzy 2006 a 2014 rokiem i w tym czasie dostarczyły swoje CV. Organizacja OWASP miała świadomość, że doszło do wycieku ze starego serwera wiki od lutego, ale poinformowali o nim dopiero w piątek 29 marca.

Na serwerze znajdowały się życiorysy, a w nich nazwiska, adresy e-mail, numery telefonów, adresy i inne dane osobowe, w latach 2006-2014 należało dostarczyć do OWASP swoje CV, aby stać się członkiem organizacji. Andrew van der Stock – dyrektor wykonawczy OWASP – odpowiedzialny jest za notatkę informacyjną na stronie oraz ujawnił Recorded Future, że na serwerze było około 1000 CV. Niestety w wyniku polityki retencji logów nie wszystkie okoliczności zdarzenia są jasne, a co za tym idzie ciężko stwierdzić ile osób miało dostęp do danych. Wiki została zarchiwizowana przez internetowe silniki takie jak Wayback Machine. 

Unfortunately, the log retention policy on the small VPS [Virtual Private it was hosted upon only means we have limited logs, so we don’t think it was widely accessed, but as the misconfiguration dates back to at least 2019 when the VPS was first stood up, we simply don’t know, and as the file system is small, any old data would have been long overwritten even if forensics was possible.

Aby zmniejszyć skutki wycieku, OWASP wyłączył przeglądanie katalogów, sprawdzono serwer www i konfigurację wiki pod kątem innych problemów z bezpieczeństwem, również usunięto CV z tej strony i wyczyszczono pamięć podręczną CloudFlare, ponadto poproszono o usunięcie wszystkich informacji z archiwum internetowego.

Dostęp do katalogu, który wyciekł nie był łatwy, ponieważ nie był indeksowany oraz oddzielony od wiki organizacji.

Wiele ofiar nie należy już do OWASP, ponadto nie wszystkie informacje kontaktowe są aktualne, niemniej organizacja zobowiązała się do poinformowania ofiar, wykorzystując ich adresy e-mail. Dlatego też upubliczniono informację o zdarzeniu i podano szczegóły. Należy założyć, że każdy kto składał CV do OWASP we wspomnianych latach, jest ofiarą ataku i trzeba zachować środki ostrożności, jeśli podane wtedy dane nadal są aktualne:

However, if the information is current, such as containing your mobile phone number, please take the usual precautions when answering unsolicited emails, mail, or phone calls.

Ponadto OWASP przyznał, że nie lekceważy powagi naruszenia oraz zobowiązali się do przeglądu przyjętych zasad przechowywania danych i wdrożą dodatkowe środki bezpieczeństwa, aby sytuacja się nie powtórzyła. Całe szczęście incydent nie dotyczy szerokiego grona użytkowników. Sytuacja pokazuje, że praca na rzecz bezpieczeństwa nie zwalnia z głoszonych przez siebie idei.

~fc