El investigador rumano Radu Dragusin reveló con anterioridad que encontró los nombres de usuario y contraseñas de los 100 mil miembros del Instituto de Ingenieros Electrónicos y Eléctricos (IEEE) sin cifrar en un servidor FTP, disponible para cualquier persona.

Una vez notificada del problema, la organización montó una investigación y finalmente reveló sus resultados:

“El incidente es el resultado de la comunicación de ID de usuarios y contraseñas entre dos aplicaciones en específico dentro de nuestra red interna que terminó en la inclusión de estos datos en los registros web.

Una anomalía ocurrió con un proceso ejecutado en coordinación con un proveedor proxy de IEEE, el resultado fue que las copias de algunos de los registros se colocaron en nuestro servidor FTP público. Estas comunicaciones afectaron aproximadamente al dos por ciento de nuestros usuarios. Los archivos de registro en cuestión contenían los ID de usuario y contraseñas que acompañan al juego en nuestro directorio. Los principales registros estuvieron y continúan almacenados en áreas protegidas.

Una vez descubierta esta exposición, IEEE inmediatamente removió estos archivos, dejó de recibir los archivos de registro del proveedor proxy y corrigió la comunicación entre las aplicaciones, lo que dio lugar a los registros que contienen los ID de usuarios y contraseñas.

Las cuentas de usuarios fueron bloqueadas y solamente los usuarios afectados  fueron notificados, IEEE les solicita cambiar su contraseña. La información de la cuenta Institucional nunca se vio afectada."

IEEE hizo notar que no almacena su información del directorio corporativo en claro, no lo expone al público y que el directorio de la empresa no se ha comprometido.