Ένας διακομιστής δεν προστατεύεται με κωδικό πρόσβασης και έχουν διαρρεύσει εκατομμύρια τραπεζικά έγγραφα

Bank Documents Exposed by an Unsevured ElasticSearch Cluster

Μια άλλη μέρα, μια άλλη έκθεση των ευαίσθητων δεδομένων. Η βάση δεδομένων ανακαλύφθηκε στις 10 Ιανουαρίου από τον ερευνητή ασφαλείας Bob Diachenko. Είχε 24 εκατομμύρια αρχεία που ζυγίζουν σε πάνω από 51GB, και μόλις ο Diachenko είδε τι περιέχουν αυτά τα αρχεία, ήξερε ότι πρέπει να ενεργήσει γρήγορα.

Το κείμενο είχε προφανώς δημιουργηθεί από μια λύση OCR. Το OCR σημαίνει Οπτική αναγνώριση χαρακτήρων, ένα κομμάτι της τεχνολογίας που χρησιμοποιείται για τη μετατροπή χειρόγραφων ή τυπωμένων εγγράφων σε κείμενο αναγνώσιμο από μηχανές. Σε αυτή τη συγκεκριμένη περίπτωση, το λογισμικό OCR είχε σαρώσει αναφορές υποθήκης και πίστωσης.

Επειδή κάθε αρχείο περιέχει διαφορετικά μέρη διαφορετικών εγγράφων, είναι δύσκολο να εκτιμηθεί ο ακριβής αριθμός των ατόμων που έχουν προσβληθεί. Ωστόσο, είναι δίκαιο να πούμε ότι πολλές εξαιρετικά ευαίσθητες πληροφορίες παραμένουν ανοιχτές. Η βάση δεδομένων περιείχε ονόματα, διευθύνσεις, αριθμούς τηλεφώνου, το πιστωτικό ιστορικό, αριθμούς κοινωνικής ασφάλισης, ο ίδιος κλπ Όπως Diachenko το θέτει, η βάση δεδομένων ήταν «ένα χρυσωρυχείο για τους εγκληματίες του κυβερνοχώρου που θα έχουν ό, τι χρειάζεται για να κλέψει ταυτότητες, αρχείο ψευδείς φορολογικές δηλώσεις, να λάβετε δάνεια ή πιστωτικές κάρτες".

Ποιος εξέθεσε τα δεδομένα;

Δεν ήταν αμέσως προφανές σε ποιον ανήκε η βάση δεδομένων και γι 'αυτό ο Diachenko αποκαλούσε τον Zack Whittaker από την TechCrunch και ζήτησε κάποια βοήθεια για την έρευνα. Μετά από μια πιο προσεκτική ματιά, ανακάλυψαν ότι τα έγγραφα χρονολογούνται από το 2008 και εκδόθηκαν από πολλά μεγάλα χρηματοπιστωτικά ιδρύματα, όπως Wells Fargo, CapitalOne, HSBC καθώς και μερικά αμερικανικά ομοσπονδιακά τμήματα.

Κάποιοι άλλοι που αργούν αργότερα, κατέληξαν στο συμπέρασμα ότι οι πληροφορίες είχαν συγκεντρωθεί από την Ascension - μία επιχείρηση που εδρεύει στο Τέξας και παρέχει υπηρεσίες αναλύσεων δεδομένων σε τράπεζες. Η Whittaker έρχεται σε επαφή με την Sandy Campbell, εκπρόσωπο της μητρικής εταιρείας της Ascension, ο οποίος δήλωσε ότι ναι, η βάση δεδομένων ανήκε στην επιχείρηση αναλύσεων, αλλά όχι, τα συστήματά τους δεν είχαν παραβιαστεί.

Προφανώς, ένας πωλητής που προσλήφθηκε από την Ανάληψη έκανε τη σφαγή. Αν και η Campbell αρνήθηκε να κατονομάσει τον εν λόγω πωλητή, ο Zack Whittaker πιστεύει ότι είναι η OpticsML με έδρα τη Νέα Υόρκη. Λαμβάνοντας υπόψη το γεγονός ότι, σύμφωνα με μια αρχειοθετημένη έκδοση της ιστοσελίδας της (η ζωντανή είναι για κάποιο λόγο), η OpticsML προσφέρει υπηρεσίες OCR "σε μερικές από τις μεγαλύτερες εταιρείες του Δανείου", το σενάριο δεν φαίνεται πολύ απίθανο. Τούτου λεχθέντος, κανείς δεν έχει επιβεβαιώσει επισήμως τις πληροφορίες.

Τα καλά νέα είναι ότι, μετά την παρέμβαση της Citigroup, ενός από τα χρηματοπιστωτικά ιδρύματα των οποίων οι πελάτες επηρεάστηκαν, η βάση δεδομένων καταρρίφθηκε και ήταν απρόσιτη από τις 15 Ιανουαρίου.

Πώς αποκαλύφθηκαν τα δεδομένα;

Ο Bob Diachenko δεν χρησιμοποίησε έξυπνη ένεση κώδικα, βίαιη εξαναγκασμό κωδικού πρόσβασης ή οποιοδήποτε άλλο είδος τεχνικής hacking. Αντ 'αυτού, το ανακάλυψε με τη βοήθεια δημόσιων μηχανών αναζήτησης όπως οι Shodan και Censys, και όταν έφτασε σε αυτό, δεν υπήρχε κωδικός πρόσβασης για να τον εμποδίσει να το κοιτάξει, να το κατεβάσει ή ενδεχομένως να το κακοποιήσει.

Τα δεδομένα παρέμειναν σε ένα συγκρότημα ElasticSearch και αντιμετώπιζαν το διαδίκτυο χωρίς καμία μορφή προστασίας. Ήταν προσβάσιμο σε οποιονδήποτε θέλησε να βρεθεί εντάξει για αυτό, και η εύρεση ήταν τόσο δύσκολη όσο η εισαγωγή ενός ερωτήματος σε μια μηχανή αναζήτησης.

Είναι το τελευταίο σε μια πολύ μακρά σειρά διαρροών δεδομένων που συμβαίνει όχι επειδή οι χάκερ είναι πολύ έξυπνοι ή επειδή το λογισμικό είναι πολύ αδύναμο, αλλά επειδή οι πωλητές κάνουν απλά και εντελώς αποφευκτικά σφάλματα διαμόρφωσης κατά την εξασφάλιση των πληροφοριών των ανθρώπων. Στην πραγματικότητα έρχεται μόλις λίγες ημέρες μετά από ένα άλλο μη ασφαλισμένο διακομιστή ElasticSearch που εκθέτει όλα τα είδη ευαίσθητων δεδομένων που ανήκουν σε χρήστες διαφόρων σε απευθείας σύνδεση χαρτοπαικτικών λεσχών.

Οι πωλητές πρέπει να πάρουν πραγματικά το παιχνίδι τους όταν πρόκειται για την ασφαλή φύλαξη των ανθρώπων. Διαθέτουν τα απαραίτητα εργαλεία για να αποφύγουν τουλάχιστον ορισμένα από τα περιστατικά που εκθέτουν τα δεδομένα και δεν έχουν δικαιολογίες για τη μη χρήση τους.

November 27, 2019

Αφήστε μια απάντηση