Рисовая Консультация, компания по сбору средств, которая работала с Демократической партией Мэриленда, публично выставила обширную базу данных конфиденциальной информации через TeraStation NAS Буффало, который предоставил несанкционированный доступ.

Неправильно сконфигурированное Сетевое Приложенное Хранение было найдено кибер службой безопасности риска Хэкена 17 октября, и было быстро довольно очевидно, что пропущенная база данных была пропущена онлайн Рисовой Консультацией, демократической фирмой по сбору средств.

Как детализировано на Рисовом веб-сайте Консультации, они работают с «Демократической партией Мэриленда, а также бесчисленной В масштабе штата, Генеральной Ассамблеей, графством, и местными выборными должностными лицами и кандидатами».

Согласно регистрациям доступа NA, найденным Hacken, пропущенная информация была доступна с 22 февраля 2018, который позволил нескольким актерам со всего мира (например, Южная Корея, Турция и Таиланд) соединяться с сервером и получать доступ к данным в течение примерно восьми месяцев.

Хотя не было никаких доказательств злонамеренной деятельности в то время, команда Хэкена действительно упоминает то, что к «информации о NAS, возможно, получили доступ неуполномоченные и даже злонамеренные актеры».

Самая важная информация, найденная Hacken на NAS, была паролями базы данных, «включая данные доступа к NGP — частной базе данных избирателя и поставщику хостинг-сервиса, используемому американской Демократической партией, демократическими кампаниями и другими некоммерческими организациями, уполномоченными Демократической партией, MDVAN — Сетью Активации Избирателя Мэриленда, DLCC — демократическим Законодательным Комитетом по Кампании, и DNC — Национальный комитет Демократической партии), почтовые ящики».

Неправильно сконфигурированный сервер NAS был публично доступен в течение приблизительно восьми месяцев с 22 февраля

Худшая часть - то, что все пароли, найденные на неправильно сконфигурированном сервере NAS, не были зашифрованы и сохранены в рамках документа электронной таблицы Excel, который позволит потенциальным противникам красть все это за несколько секунд без потребности специализированных инструментов декодирования или экс-фильтрации.

Команда Хэкена также обнаружила, что база данных, выставленная неограниченному открытому доступу, содержала информацию о клиенте с данными тысяч мероприятий по сбору денег и большими суммами частной информации с телефонов и имен к адресам и личным электронным письмам.

Кроме того, информационная Рисовая Консультация сделала общедоступным также перечисленные данные по контрактам и деталям сотрудника, а также соблюдению примечаний и различных настольных резервных копий.

Рисовая Консультация была зарегистрирована прямо после того, как стоящий с Интернетом уязвимый сервер NAS был обнаружен, но после не получения ответа после 24 часов с ними также связались через телефонные звонки, которые были, к сожалению, отклонены.

После того, чтобы наконец быть связывавшимся и получения информации об утечке данных, Рис, Консультируясь блокировал открытый доступ к NAS и отправил Hacken сообщение «спасибо» для всей их помощи.