Un server non è stato protetto con una password e sono stati persi milioni di documenti bancari

Bank Documents Exposed by an Unsevured ElasticSearch Cluster

Un altro giorno, un altro gruppo di dati sensibili esposti. Il database è stato scoperto il 10 gennaio dal ricercatore di sicurezza Bob Diachenko. Aveva 24 milioni di dischi con un peso di oltre 51 GB e non appena Diachenko vide cosa contenevano questi dischi, capì che doveva agire rapidamente.

Apparentemente il testo era stato generato da una soluzione OCR. OCR è l'acronimo di Optical Character Recognition, una tecnologia utilizzata per convertire documenti scritti a mano o stampati in testo leggibile automaticamente. In questo caso particolare, il software OCR ha scannerizzato i rapporti sui mutui e sul credito.

Poiché ogni record conteneva parti diverse di documenti diversi, è difficile stimare il numero esatto di individui interessati. È giusto dire, tuttavia, che molte informazioni estremamente sensibili sono state lasciate all'aperto. Il database conteneva nomi, indirizzi, numeri di telefono, storia di credito, numeri di previdenza sociale, ecc Come Diachenko se stesso dice, il database è stato "una miniera d'oro per i cyber criminali che avrebbero hanno tutto il necessario per rubare le identità, dichiarazioni dei file falso fiscali, ottenere prestiti o carte di credito".

Chi ha esposto i dati?

Non fu immediatamente chiaro a chi appartenesse il database, motivo per cui Diachenko chiamò Zack Whittaker di TechCrunch e chiese aiuto per le indagini. Dopo uno sguardo più attento, hanno scoperto che i documenti risalgono al 2008 e sono stati emessi da diversi importanti istituti finanziari tra cui Wells Fargo, CapitalOne, HSBC e un paio di dipartimenti federali statunitensi.

Qualche altro in seguito, hanno concluso che le informazioni erano state raccolte da Ascension, un'azienda con sede in Texas che fornisce servizi di analisi dei dati alle banche. Whittaker si è messo in contatto con Sandy Campbell, un rappresentante della casa madre di Ascension, che ha affermato che sì, il database apparteneva al settore dell'analisi, ma no, i loro sistemi non erano stati compromessi.

Apparentemente, un venditore assunto dall'Ascensione ha commesso l'errore. Sebbene Campbell abbia rifiutato di nominare il suddetto fornitore, Zack Whittaker ritiene che sia OpticsML con sede a New York. Considerando il fatto che, secondo una versione archiviata del suo sito Web (quella live è inattiva per qualche motivo), OpticsML offre servizi OCR "ad alcune delle più grandi società del settore ipotecario", lo scenario non sembra molto improbabile. Detto questo, nessuno ha confermato ufficialmente le informazioni.

La buona notizia è che, dopo Citigroup, è intervenuto uno degli istituti finanziari i cui clienti sono stati colpiti, il database è stato rimosso ed è inaccessibile dal 15 gennaio.

Come sono stati esposti i dati?

Bob Diachenko non ha usato un'iniezione di codice intelligente, la forzatura della password o qualsiasi altro tipo di tecnica di hacking. Invece, lo ha scoperto con l'aiuto di motori di ricerca disponibili pubblicamente come Shodan e Censys, e quando ci è arrivato, non c'era password per impedirgli di guardarlo, scaricarlo o eventualmente abusarlo.

I dati sono stati lasciati su un cluster ElasticSearch e si trovavano di fronte a Internet senza alcuna forma di protezione. Era accessibile a chiunque volesse accettarlo, e trovarlo era difficile quanto inserire una query in un motore di ricerca.

È l'ultimo di una lunga serie di perdite di dati che si verificano non perché gli hacker sono troppo intelligenti o perché il software è troppo debole, ma perché i fornitori commettono errori di configurazione semplici e completamente evitabili quando proteggono le informazioni delle persone. In realtà arriva pochi giorni dopo che un altro server ElasticSearch non protetto ha esposto tutti i tipi di dati sensibili che appartengono agli utenti di diversi casinò online.

I venditori devono davvero prendere il loro gioco quando si tratta di mantenere le persone al sicuro. Hanno gli strumenti necessari per evitare almeno alcuni degli incidenti che espongono i dati e non hanno scuse per non usarli.

November 27, 2019

Lascia un Commento