Orvis.com在Pastebin.com上暴露了數百個內部密碼

• Orvis.com在其Pastebin上公開了憑據，因為其中一位合作者在此粘貼了兩次。
• 該公司正式回應說，證書已經過期，但是發現公司則認為不是。
• 這些密碼涉及加密貨幣證書，路由器，伺服器，甚至是保險箱的密碼。

根據Krebs關於安全性的報告，Orvis.com泄露了大量內部使用的密碼，原因是它們被錯誤地發布在Pastebin.com上。這些憑據涉及後端管理，防火牆管理，路由器設置，甚至提供對資料庫伺服器的訪問。 Orvis.com是服裝，漁具和狩獵設備的在線零售商，其高質量和「經典」的產品樣式贏得了他們在市場上的聲譽。該公司在美國和英國經營著69家零售店和28家門店，僱用了1700名員工。

第一個發現這種錯誤的人是一家名為「 Hold Security」的安全研究公司，該公司在幾周前向克雷布斯發出了提示。然後，研究人員聯繫了Orvis，他們立即做出反應，承認自己的錯誤並刪除了Pastebin。正如他們當時告訴克雷布斯（Krebs）一樣，該粘貼僅暴露了一天，並且包含已過期的舊憑據。正如Orvis發言人所說，與泄露的憑證關聯的大多數設備已經停用。聽到此消息後，霍爾德安保公司的代表表示不同意。

正如Winsconsin公司公開聲明的那樣，Orvis顯然在Pastebin上發布了兩個列表。第一個是10月4日，第二個是10月22日，因此曝光持續了超過一天的時間。至於內容，用戶名和密碼為純文本形式，並且構成訪問以下內容的密鑰：

-防病毒引擎
-數據備份服務
-多種防火牆產品
-Linux伺服器
-思科路由器
-Netflow數據
-通話錄音服務
-DNS控制項
-Orvis無線網路（公共和私有）
-員工無線電話服務
-Oracle資料庫伺服器
-Microsoft 365服務
-Microsoft Active Directory帳戶和密碼
-電池備用系統
-監控攝像頭
-加密貨幣證書
-手機支付服務
-門和警報代碼
-FTP憑證
-Apple ID憑證
-門控制器
-結合到伺服器機房中的帶鎖保險柜

該文檔可能由「 VT技術服務」標記，可能來自Orvis的一個合作夥伴。這是Orvis內部調查的主題，對我們而言重要的事實是，大公司已經將其系統的密鑰留在網上供任何人使用。惡意參與者正在監視諸如Pastebin和GitHub 24/7之類的存儲庫，因此肯定會注意到此泄漏。很少會在不包含客戶數據的情況下看到曝光，但是這次提供了所有這些功能，演員可能會破壞Orvis的系統，以竊取他們可能感興趣的任何其他內容。