ENC Security, o provedor de criptografia para Sony e Lexar, vazou dados confidenciais por mais de um ano

Quando você compra uma chave USB Sony, Lexar ou Sandisk ou qualquer outro dispositivo de armazenamento, ele vem com uma solução de criptografia para manter seus dados seguros. O software é desenvolvido por um fornecedor terceirizado – ENC Security.

Empresa sediada na Holanda com 12 milhões de usuários em todo o mundo fornece soluções de “proteção de dados de nível militar” com seu popular software de criptografia DataVault.

Acontece que a ENC Security vazou seus arquivos de configuração e certificado por mais de um ano, descobriu a equipe de pesquisa da Cybernews.

“Os dados que vazaram por mais de um ano são nada menos que uma mina de ouro para os agentes de ameaças”, disse o pesquisador da Cybernews Martynas Vareikis.

A empresa disse que uma configuração incorreta de um fornecedor terceirizado causou o problema e o corrigiu imediatamente após a notificação.

A descoberta

Os dados dentro do servidor vazado incluíam credenciais do Simple Mail Transfer Protocol (SMTP) para canais de vendas, chaves Adyen da plataforma de pagamento único, chaves Mailchimp API da empresa de marketing por e-mail, chaves API de pagamento de licenciamento, códigos de autenticação de mensagem HMAC e chaves públicas e privadas armazenadas em formato .pem.

Os dados estavam acessíveis de 27 de maio de 2021 até 9 de novembro de 2022. O servidor foi fechado depois que a Cybernews divulgou a vulnerabilidade à ENC Security.

De acordo com Vareikis, a descoberta é preocupante, pois os malfeitores podem explorar os dados mencionados para uma variedade de ataques cibernéticos – de phishing a ransomware.

Por exemplo, os canais de comunicação de vendas podem ser usados ​​para phishing de clientes, enviando-lhes faturas falsas ou espalhando malware por meio de endereços de e-mail confiáveis.

“As chaves de API do Mailchimp agregam ainda mais valor para os atores maliciosos interessados ​​em campanhas de phishing, pois permite que eles enviem campanhas de marketing massivas e visualizem/coletem leads. Ter uma lista de clientes e a capacidade de usar e-mail real para campanhas de phishing é nada menos que uma mina de ouro para os agentes de ameaças”, explicou Vareikis.

Os operadores de ransomware exploram os arquivos .pem – as chaves deixadas dentro podem resultar em acesso não autorizado ou até mesmo no controle do servidor.

As repercussões de tal aquisição podem ser devastadoras. Os agentes de ameaças podem trocar o arquivo de download por um arquivo infectado.

“Ter clientes como SanDisk, Sony, Lexar e outros promotores (revisores do TrustPilot reclamam de serem forçados a usar este software ao comprar pen drives) seus arquivos infectados produziriam uma das maiores campanhas de ransomware até agora”, explicou Vareikis.

A ECN Security diz que sua solução é baixada mais de 2.000 vezes por mês.

As chaves da API de pagamento podem expor informações confidenciais do cliente ao público.

resposta da empresa

A ENC Security disse que tomou medidas rápidas após analisar o problema descoberto pela equipe de pesquisa da Cybernews. A vulnerabilidade dizia respeito a uma configuração incorreta de um fornecedor terceirizado, disse a ENC Security à Cybernews. O problema agora está resolvido.

“Na ENC Security, levamos a sério a segurança e a proteção de nossos dados. Cada descoberta é minuciosamente pesquisada e remediada com as medidas apropriadas. Medidas relevantes são tomadas quando necessárias, entre as quais medidas de segurança, informar os clientes e aumentar ainda mais a segurança”, disse o porta-voz da empresa.

Descoberta Pelissier

Vareikis acredita que a descoberta da Cybernews não é menos preocupante do que a descoberta do pesquisador Sylvain Pelissier em dezembro de 2021.