Thursday, October 9, 2014

Exposed of logs, related to users who used Conduit service to gets Divx software

English will be follow..
פרטי לוגים של התקנות של תוכנת Divx,שנעשו דרך שירותי Conduit חשופים ברשת למעלה מחצי שנה.

חברת Conduit קיבלה מספר התרעות בנושא,ומאחר שהם היו במיזוג כשאיתרתי את הנתונים,החלטתי להמתין כדי לא לפרסם את הנושא בזמן רגיש עסקית.

בפניה חוזרת לחברה שנעשתה לאחרונה נאמר לי שהנושא לא רלוונטי ,ולכן החלטתי לפרסם את הדברים, לדעתי זה רלוונטי.

מאחר שהחברה סירבה להסיר את הלוגים,ומאחר שהנתונים כבר ישנים יחסית החלטתי לפרסם את הנושא.

הפרטים כוללים:IP,סוג המחשב,מדינה ומספרים פנימיים,לא נחשפו פרטים כמו שמות המשתמשים.

החשיפה איננה קריטית.

Logs of successful installation related to Divx products have been exposed, via Coduit service in cloud server based on amazon.
The exposed logs included,but not limited to IPs.Country of the users.machine type (ex. Mac).

I was in contact with conduit related to this case couple of times,but they choose to avoid changing the status,and kept the data as is.

Since they where in the middle of merging, at the time when I spoke with them in the first time related to this case of Divx,I decided to avoid sharing the finding with the public.

Recently (21 Sep. 2014), I gave them another warning but they said "not relevant,thank you". 

In my opinion,this kind of data can be really useful related to BI (Businesses intelligence) and if someone have a zero-day tool against Divx software.
In any ways,IPs can be tracked and privacy should be kept in better ways.


No comments:

Post a Comment