Ein Server wurde nicht mit einem Kennwort geschützt, und Millionen von Bankdokumenten gingen verloren

Bank Documents Exposed by an Unsevured ElasticSearch Cluster

Ein anderer Tag, ein weiterer offener Schatz an sensiblen Daten. Die Datenbank wurde am 10. Januar vom Sicherheitsforscher Bob Diachenko entdeckt. Es hatte 24 Millionen Platten mit einem Gewicht von über 51 GB, und sobald Diachenko sah, was diese Platten enthielten, wusste er, dass er schnell handeln musste.

Der Text wurde anscheinend von einer OCR-Lösung generiert. OCR steht für Optical Character Recognition, eine Technologie, mit der handgeschriebene oder gedruckte Dokumente in maschinenlesbaren Text umgewandelt werden. In diesem speziellen Fall hatte die OCR-Software Hypotheken- und Kreditberichte gescannt.

Da jeder Datensatz verschiedene Teile verschiedener Dokumente enthielt, ist es schwierig, die genaue Anzahl der betroffenen Personen abzuschätzen. Es ist jedoch fair zu sagen, dass viele äußerst sensible Informationen offen gelassen wurden. Die Datenbank enthielt Namen, Adressen, Telefonnummern, Bonitätsangaben, Sozialversicherungsnummern usw. Wie Diachenko selbst sagt, war die Datenbank "eine Goldmine für Cyberkriminelle, die alles hatten, was sie brauchten, um Identitäten zu stehlen, falsche Steuererklärungen einzureichen, Kredite oder Kreditkarten bekommen".

Wer hat die Daten veröffentlicht?

Es war nicht sofort ersichtlich, zu wem die Datenbank gehört, weshalb Diachenko Zack Whittaker von TechCrunch anrief und um Hilfe bei der Untersuchung bat. Bei genauerem Hinsehen stellten sie fest, dass die Dokumente bereits im Jahr 2008 erstellt wurden und von mehreren großen Finanzinstituten wie Wells Fargo, CapitalOne, HSBC sowie einigen US-Bundesbehörden herausgegeben wurden.

Später kamen sie zu dem Schluss, dass die Informationen von Ascension gesammelt wurden - einem in Texas ansässigen Unternehmen, das Datenanalysedienstleistungen für Banken erbringt. Whittaker nahm Kontakt mit Sandy Campbell auf, einem Vertreter der Muttergesellschaft von Ascension, der sagte, dass die Datenbank zwar zum Analytics-Geschäft gehört, ihre Systeme jedoch nicht kompromittiert wurden.

Anscheinend hat ein von Ascension angeheuerter Verkäufer den Fehler begangen. Obwohl Campbell sich weigerte, den genannten Anbieter zu benennen, glaubt Zack Whittaker, dass es sich um OpticsML mit Sitz in New York handelt. In Anbetracht der Tatsache, dass OpticsML einer archivierten Version seiner Website (die aus irgendeinem Grund nicht verfügbar ist) zufolge OCR-Dienste "für einige der größten Unternehmen im Hypothekenbereich" anbietet, erscheint das Szenario nicht sehr unwahrscheinlich. Das heißt, niemand hat die Informationen offiziell bestätigt.

Die gute Nachricht ist, dass nach dem Eingreifen von Citigroup, einem der Finanzinstitute, deren Kunden betroffen waren, die Datenbank gelöscht wurde und seit dem 15. Januar nicht mehr zugänglich ist.

Wie wurden die Daten veröffentlicht?

Bob Diachenko verwendete keine clevere Code-Injection, Passwort-Brute-Forcing oder andere Hacking-Techniken. Stattdessen entdeckte er es mithilfe öffentlich zugänglicher Suchmaschinen wie Shodan und Censys, und als er dazu kam, gab es kein Passwort, das ihn daran hinderte, es anzusehen, herunterzuladen oder möglicherweise zu missbrauchen.

Die Daten wurden in einem ElasticSearch-Cluster gespeichert und waren ohne jeglichen Schutz mit dem Internet verbunden. Es war für jeden zugänglich, der bereit war, es zu suchen, und es war genauso schwierig, es zu finden, wie eine Suchanfrage in eine Suchmaschine einzugeben.

Dies ist das Neueste in einer sehr langen Reihe von Datenlecks, die nicht dadurch verursacht werden, dass Hacker zu schlau sind oder dass Software zu schwach ist, sondern weil Anbieter einfache und vollständig vermeidbare Konfigurationsfehler beim Sichern der Daten von Personen machen. Es kommt tatsächlich nur wenige Tage, nachdem ein anderer ungesicherter ElasticSearch-Server alle Arten von sensiblen Daten enthüllt hat, die Benutzern mehrerer Online-Casinos gehören.

Die Anbieter müssen ihr Spiel wirklich aufnehmen, wenn es darum geht, die Sicherheit der Menschen zu gewährleisten. Sie verfügen über die erforderlichen Tools, um zumindest einige der datenexponierenden Vorfälle zu vermeiden, und sie haben keine Entschuldigung, sie nicht zu verwenden.

November 27, 2019

Antworten