En server blev ikke beskyttet med en adgangskode, og millioner af bankdokumenter blev lækket

Bank Documents Exposed by an Unsevured ElasticSearch Cluster

Endnu en dag, en anden udsat trove af følsomme data. Databasen blev opdaget den 10. januar af sikkerhedsforsker Bob Diachenko. Den havde 24 millioner poster på over 51 GB, og så snart Diachenko så, hvad disse poster indeholdt, vidste han, at han må handle hurtigt.

Teksten var tilsyneladende blevet genereret af en OCR-løsning. OCR står for Optical Character Recognition, et stykke teknologi, der bruges til at konvertere håndskrevne eller trykte dokumenter til maskinlæsbar tekst. I dette særlige tilfælde havde OCR-softwaren scannet prioritets- og kreditrapporter.

Da hver registrering indeholdt forskellige dele af forskellige dokumenter, er det vanskeligt at estimere det nøjagtige antal berørte personer. Det er dog rimeligt at sige, at en masse ekstremt følsom information blev udeladt i det fri. Databasen indeholdt navne, adresser, telefonnumre, kredithistorie, personnummer osv. Som Diachenko selv udtrykker det, var databasen "en guldmine for cyberkriminelle, der ville have alt, hvad de har brug for for at stjæle identiteter, arkivere falske selvangivelser, få lån eller kreditkort".

Hvem udsatte dataene?

Det viste sig ikke umiddelbart, hvem databasen tilhørte, hvorfor Diachenko ringede til Zack Whittaker fra TechCrunch og bad om hjælp til undersøgelsen. Efter en nærmere gennemgang fandt de ud af, at dokumenterne dateres så langt tilbage som i 2008 og blev udstedt af flere store finansielle institutioner, herunder Wells Fargo, CapitalOne, HSBC samt et par amerikanske føderale afdelinger.

Nogle mere, der fik øje på senere, konkluderede de, at informationen var blevet indsamlet af Ascension - en Texas-baseret virksomhed, der leverer dataanalytiske tjenester til banker. Whittaker kom i kontakt med Sandy Campbell, en repræsentant for Ascensions moderselskab, der sagde, at ja, databasen tilhørte analytikbranchen, men nej, deres systemer var ikke kompromitteret.

Tilsyneladende gjorde en sælger, der blev ansat af Ascension, tabben. Selvom Campbell nægtede at navngive den nævnte leverandør, mener Zack Whittaker, at det er New York-baserede OpticsML. I betragtning af, at OpticsML ifølge en arkiveret version af sit websted (den live er nede af en eller anden grund) tilbyder OCR-tjenester "til nogle af de største virksomheder i pantelokalet", synes scenariet ikke meget usandsynligt. Når det er sagt, har ingen officielt bekræftet oplysningerne.

Den gode nyhed er, at efter Citigroup, en af de finansielle institutioner, hvis klienter blev påvirket, greb ind i databasen, blev databasen fjernet, og den har været utilgængelig siden 15. januar.

Hvordan blev dataene eksponeret?

Bob Diachenko brugte ikke en smart kodeinjektion, password-brute-tvang eller nogen anden type hacking-teknik. I stedet opdagede han det ved hjælp af offentligt tilgængelige søgemaskiner som Shodan og Censys, og da han kom til det, var der ingen adgangskode til at forhindre ham i at se på den, hente den eller muligvis misbruge den.

Dataene blev efterladt i en ElasticSearch-klynge og stod overfor internettet uden nogen form for beskyttelse overhovedet. Det var tilgængeligt for alle, der var villige til at se ok for det, og at finde det var så svært som at indtaste en forespørgsel i en søgemaskine.

Det er det seneste i en meget lang række datalækager, der ikke sker, fordi hackere er for smarte eller fordi software er for svag, men fordi leverandører laver enkle og helt undgåelige konfigurationsfejl, når de sikrer folks oplysninger. Det kommer faktisk bare dage efter, at en anden usikret ElasticSearch-server udsatte alle mulige følsomme data, der hører til brugere af flere online casinoer.

Sælgere skal virkelig hente deres spil, når det kommer til at holde folk i sikkerhed. De har de nødvendige værktøjer til i det mindste at undgå nogle af de data-eksponerende hændelser, og de har ingen undskyldninger for ikke at bruge dem.

November 27, 2019

Efterlad et Svar