ENC Security, o provedor de criptografia para Sony e Lexar, vazou dados confidenciais por mais de um ano

Os especialistas da CyberNews descobriram que a ENC Security, uma empresa de software holandesa, vinha vazando dados críticos de negócios desde maio de 2021.
Os especialistas da CyberNews descobriram que a ENC Security, uma empresa de software holandesa, vinha vazando dados críticos de negócios desde maio de 2021.

Quando você compra uma chave USB Sony, Lexar ou Sandisk ou qualquer outro dispositivo de armazenamento, ele vem com uma solução de criptografia para manter seus dados seguros. O software é desenvolvido por um fornecedor terceirizado – ENC Security.

Empresa sediada na Holanda com 12 milhões de usuários em todo o mundo fornece soluções de “proteção de dados de nível militar” com seu popular software de criptografia DataVault.

Acontece que a ENC Security vazou seus arquivos de configuração e certificado por mais de um ano, descobriu a equipe de pesquisa da Cybernews.

“Os dados que vazaram por mais de um ano são nada menos que uma mina de ouro para os agentes de ameaças”, disse o pesquisador da Cybernews Martynas Vareikis.

A empresa disse que uma configuração incorreta de um fornecedor terceirizado causou o problema e o corrigiu imediatamente após a notificação.

A descoberta

Os dados dentro do servidor vazado incluíam credenciais do Simple Mail Transfer Protocol (SMTP) para canais de vendas, chaves Adyen da plataforma de pagamento único, chaves Mailchimp API da empresa de marketing por e-mail, chaves API de pagamento de licenciamento, códigos de autenticação de mensagem HMAC e chaves públicas e privadas armazenadas em formato .pem.

Os dados estavam acessíveis de 27 de maio de 2021 até 9 de novembro de 2022. O servidor foi fechado depois que a Cybernews divulgou a vulnerabilidade à ENC Security.

De acordo com Vareikis, a descoberta é preocupante, pois os malfeitores podem explorar os dados mencionados para uma variedade de ataques cibernéticos – de phishing a ransomware.

Segurança ENC

Por exemplo, os canais de comunicação de vendas podem ser usados para phishing de clientes, enviando-lhes faturas falsas ou espalhando malware por meio de endereços de e-mail confiáveis.

“As chaves de API do Mailchimp agregam ainda mais valor para os atores maliciosos interessados em campanhas de phishing, pois permite que eles enviem campanhas de marketing massivas e visualizem/coletem leads. Ter uma lista de clientes e a capacidade de usar e-mail real para campanhas de phishing é nada menos que uma mina de ouro para os agentes de ameaças”, explicou Vareikis.

Os operadores de ransomware exploram os arquivos .pem – as chaves deixadas dentro podem resultar em acesso não autorizado ou até mesmo no controle do servidor.

As repercussões de tal aquisição podem ser devastadoras. Os agentes de ameaças podem trocar o arquivo de download por um arquivo infectado.

“Ter clientes como SanDisk, Sony, Lexar e outros promotores (revisores do TrustPilot reclamam de serem forçados a usar este software ao comprar pen drives) seus arquivos infectados produziriam uma das maiores campanhas de ransomware até agora”, explicou Vareikis.

A ECN Security diz que sua solução é baixada mais de 2.000 vezes por mês.

As chaves da API de pagamento podem expor informações confidenciais do cliente ao público.

resposta da empresa

A ENC Security disse que tomou medidas rápidas após analisar o problema descoberto pela equipe de pesquisa da Cybernews. A vulnerabilidade dizia respeito a uma configuração incorreta de um fornecedor terceirizado, disse a ENC Security à Cybernews. O problema agora está resolvido.

“Na ENC Security, levamos a sério a segurança e a proteção de nossos dados. Cada descoberta é minuciosamente pesquisada e remediada com as medidas apropriadas. Medidas relevantes são tomadas quando necessárias, entre as quais medidas de segurança, informar os clientes e aumentar ainda mais a segurança”, disse o porta-voz da empresa.

Descoberta Pelissier

Vareikis acredita que a descoberta da Cybernews não é menos preocupante do que a descoberta do pesquisador Sylvain Pelissier em dezembro de 2021.

74 thoughts on “ENC Security, o provedor de criptografia para Sony e Lexar, vazou dados confidenciais por mais de um ano

  1. Pingback: child porn
  2. Pingback: child porn
  3. Pingback: child porn
  4. Pingback: child porn
  5. Pingback: child porn
  6. Pingback: porn
  7. Pingback: porn
  8. Pingback: child porn
  9. Pingback: child porn
  10. Pingback: child porn
  11. Pingback: child porn
  12. Pingback: fuck google
  13. Pingback: porn
  14. Pingback: porn
  15. Pingback: izmir travesti
  16. Pingback: porn
  17. Pingback: child porn
  18. Pingback: porn
  19. Pingback: fuck
  20. Pingback: porn
  21. Pingback: fuck google
  22. Pingback: meritking porn
  23. Pingback: spam
  24. Pingback: meritking porn
  25. Pingback: meritking porn
  26. Pingback: spam
  27. Pingback: spam
  28. Pingback: meritking porn
  29. Pingback: spam
  30. Pingback: child porn
  31. Pingback: child porn
  32. Pingback: spam
  33. Pingback: porn
  34. Pingback: porn
  35. Pingback: child porn
  36. Pingback: spam
  37. Pingback: child porn
  38. Pingback: porn
  39. Pingback: porn
  40. Pingback: porn
  41. Pingback: spam
  42. Pingback: child porn
  43. Pingback: spam
  44. Pingback: porn
  45. Pingback: porn
  46. Pingback: porn
  47. Pingback: child porn
  48. Pingback: porn
  49. Pingback: spam
  50. Pingback: porn
  51. Pingback: spam
  52. Pingback: porn
  53. Pingback: spam
  54. Pingback: porn
  55. Pingback: spam
  56. Pingback: porn
  57. Pingback: kingroyal porna
  58. Pingback: wix seo service
  59. Pingback: child porn
  60. Pingback: child porn
  61. Pingback: child porn
  62. Pingback: child porn
  63. Pingback: kingroyal porn
  64. Pingback: spam
  65. Pingback: child porn
  66. Pingback: child porn
  67. Pingback: child porn

Comments are closed.