Kodeord og persondata i klartekst: Hackere fik adgang til fysiklaboratorie i USA
En etisk hackergruppe har hacket sig ind i systemerne hos Fermilab, et amerikansk laboratorium for partikelfysik og -acceleratorer, som viser sig at have meget dårlig it-sikkerhed.
Det skriver Ars Technica.
Sikkerhedsforskerne Robert Willis, John Jackson og Jackson Henry fra den etiske hackergruppe Sakura Samurai har brugt værktøjer som ‘amass’, ‘dirsearch’ og ‘nmap’ til at kigge ind i fnal.gov-subdomæner. Her fandt man åbne mapper, åbne porte og usikret tjenester, som kriminelle potentielt kan bruge til at stjæle data.
Forskerne fandt blandt andet konfigurationsdata fra et eksperiment kaldet ‘NoVa’, der handler om at undersøge neutrinoer i universets udvikling. Derudover fandt man kodeord i klar tekst og persondata som navne sammen med mailadresser og bruger-ID’er på medarbejdere. Dette er blot et udpluk af oplysninger fra flere tusinde dokumenter, som forskerne fik adgang til.
»Jeg var overrasket over, at en statslig myndighed, som har et budget på over en halv milliard dollars, kan have så mange sikkerhedshuller,« fortæller Robert Willis til Ars Technica om Fermilab, der er støttet af energiministeriet i USA.
»Efter denne undersøgelse, tror jeg ikke engang, de havde en grundlæggende it-sikkerhed, som kan få en til at ligge vågen om natten. Det ville ikke være godt, hvis en ondsindet aktør stjæler vigtig data, som det har kostet USA flere hundrede millioner at producere, samtidig med at man giver mulighed for at manipulere med udstyr, der kan få alvorlige konsekvenser.«
Ifølge sikkerhedsforskerne, reagerede Fermilab hurtigt på gruppens advarsel og lappede sikkerhedshullerne i en fart.
