A kiszolgálót nem védett jelszóval, és milliónyi banki dokumentumot kiszivárogtattak

Bank Documents Exposed by an Unsevured ElasticSearch Cluster

Másnap újabb, érzékeny adatoknak kitett adagja. Az adatbázist január 10-én fedezte fel Bob Diachenko biztonsági kutató. 24 millió felvétellel rendelkezik, súlya meghaladja az 51 GB-ot, és mihelyt Diachenko meglátta, mit tartalmaz ezek a felvételek, tudta, hogy gyorsan kell cselekednie.

A szöveget nyilvánvalóan egy OCR-megoldás hozta létre. Az OCR az Optical Character Recognition (optikai karakterfelismerés) kifejezést jelenti, amely egy olyan technológia, amelyet a kézzel írott vagy nyomtatott dokumentumok gépi olvasható szöveggé történő konvertálására használnak. Ebben az esetben az OCR szoftver beolvasta a jelzálog- és hiteljelentéseket.

Mivel mindegyik rekord különböző dokumentumok különböző részeit tartalmazta, nehéz megbecsülni az érintett személyek pontos számát. Igaz azt mondani, hogy sok rendkívül érzékeny információt hagytak szabadban. Az adatbázis neveket, címeket, telefonszámokat, hitelinformációs történeteket, társadalombiztosítási számokat stb. Tartalmazott. Amint maga Diachenko állítja, az adatbázis "aranybánya volt a számítógépes bűnözők számára, akiknek mindent megtesznek személyazonosságuk ellopására, hamis adóbevallások benyújtására, hitelt vagy hitelkártyát szerezzen".

Ki tette közzé az adatokat?

Nem azonnal derült ki, hogy az adatbázis melyikbe tartozik, ezért Diachenko felhívta Zack Whittaker-t a TechCrunch-ból, és kért valamilyen segítséget a nyomozásban. Mélyebb megfigyelés után rájöttek, hogy a dokumentumok már 2008-ban készültek, és több nagyobb pénzügyi intézmény állította ki őket, köztük a Wells Fargo, a CapitalOne, a HSBC, valamint néhány amerikai szövetségi osztályt.

Néhányan később megbotlik, és arra a következtetésre jutottak, hogy az információkat az Ascension gyűjtötte össze - egy texasi székhelyű vállalkozás, amely adatelemzési szolgáltatásokat nyújt a bankoknak. Whittaker kapcsolatba lépett Sandy Campbell-lel, az Ascension anyavállalatának képviselőjével, aki azt mondta, hogy igen, az adatbázis az analitikai üzlethez tartozik, de nem, rendszerüket nem veszélyeztették.

Nyilvánvalóan egy Ascension által felvett eladó elrontotta a hibát. Bár Campbell nem volt hajlandó megnevezni az említett szállítót, Zack Whittaker szerint New York-i OpticsML. Figyelembe véve azt a tényt, hogy weboldalának egy archivált változata szerint (az élő oldal valamilyen oknál fogva nem működik), az OpticsML OCR szolgáltatásokat kínál "a jelzálogtérben lévő legnagyobb vállalatoknak", a forgatókönyv nem tűnik nagyon valószínűtlennek. Ennek ellenére senki sem erősítette meg hivatalosan az információt.

A jó hír az, hogy a Citigroup után az egyik pénzügyi intézmény, amelynek ügyfeleit érintette, beavatkozott, leállították az adatbázist, és január 15-től elérhetetlen volt.

Hogyan voltak kitéve az adatoknak?

Bob Diachenko nem használt okos kód-befecskendezést, jelszó-kényszerítés vagy más típusú hackelés technikáját. Ehelyett olyan nyilvánosan elérhető keresőmotorok segítségével fedezte fel, mint például Shodan és Censys, és amikor odaért, nem volt jelszó, amely megakadályozta volna, hogy megnézze, letölthesse, vagy esetlegesen visszaéljen.

Az adatokat egy ElasticSearch fürtön hagyták, és az internettel szemben bármiféle védelem nélkül jelentek meg. Mindenki számára elérhető volt, aki hajlandó volt rá, és megtalálni olyan nehéz volt, mint egy lekérdezés beírása a keresőmotorba.

Az adatok szivárgásának nagyon hosszú sorában a legújabb, ami nem azért történik, mert a hackerek túl okosak vagy mert a szoftver túl gyenge, hanem azért, mert a gyártók egyszerű és teljesen elkerülhető konfigurációs hibákat követnek el az emberek információk védelme során. Valójában néhány nappal azután jön, hogy egy másik nem biztonságos ElasticSearch szerver mindenféle érzékeny adatot felfedt, amely több online kaszinó felhasználóihoz tartozik.

Az eladóknak valóban ki kell választaniuk játékukat, amikor az emberek biztonságát kell fenntartani. Rendelkeznek az eszközökkel, hogy elkerüljék legalább az adatkiadási eseményeket, és nincsenek mentségük arra, hogy ezeket nem használják.

November 27, 2019

Válaszolj