サーバーはパスワードで保護されておらず、数百万の銀行ドキュメントが漏洩しました

Bank Documents Exposed by an Unsevured ElasticSearch Cluster

別の日、別の機密データが公開されました。データベースは、セキュリティ研究者のボブ・ディアチェンコによって1月10日に発見されました。 51GBを超える2400万件のレコードがあり、ディアチェンコはこれらのレコードの内容を確認するとすぐに行動を起こさなければならないことを知りました。

このテキストは、OCRソリューションによって生成されたようです。 OCRは光学式文字認識の略で、手書きまたは印刷されたドキュメントを機械可読テキストに変換するために使用される技術です。この特定の例では、OCRソフトウェアが住宅ローンおよび信用レポートをスキャンしていました。

各レコードには異なるドキュメントの異なる部分が含まれているため、影響を受ける個人の正確な数を推定することは困難です。ただし、非常に機密性の高い情報の多くは公開されていなかったと言っても過言ではありません。データベースには、名前、住所、電話番号、信用履歴、社会保障番号などが含まれていました。ディアチェンコ自身が言うように、データベースは「身元を盗むために必要なものすべてを持ち、偽の納税申告書を提出するサイバー犯罪者のための金鉱」でした。ローンやクレジットカードを取得」。

誰がデータを公開しましたか?

データベースが誰のものであるかはすぐにはわかりませんでした。そのため、Diachenko はTechCrunchのZack Whittakerに電話をかけ、調査の支援を求めました。よく見てみると、文書は2008年までさかのぼり、Wells Fargo、CapitalOne、HSBCなどのいくつかの主要な金融機関と米国連邦政府のいくつかの部門によって発行されたことがわかりました。

後でいくつかのことをいじくりまわして、彼らは情報が銀行にデータ分析サービスを提供するテキサスに拠点を置くビジネスであるアセンションによって収集されたと結論付けました。 Whittakerは、Ascensionの親会社の代表であるSandy Campbellと連絡を取りました。SandyCampbellは、データベースは分析ビジネスに属していたが、システムは侵害されていないと述べました。

どうやら、アセンションに雇われたベンダーが大失敗したようです。キャンベルはこのベンダーの名前を付けることを拒否しましたが、ザック・ウィッタカーはニューヨークに拠点を置くOpticsMLだと考えています。ウェブサイトのアーカイブ版 (ライブは何らかの理由でダウンしている)によると、OpticsMLはOCRサービスを「住宅ローン業界の大手企業のいくつかに」提供しているという事実を考慮すると、このシナリオはあまりありそうにないようです。とはいえ、誰も公式に情報を確認していません。

朗報は、クライアントが影響を受けた金融機関の1つであるシティグループが介入した後、データベースが削除され、1月15日以降アクセスできなくなったことです。

データはどのように公開されましたか?

Bob Diachenkoは、巧妙なコードインジェクション、パスワードの総当たり攻撃、またはその他の種類のハッキング手法を使用しませんでした。代わりに、彼はShodanやCensysのような公的に利用可能な検索エンジンの助けを借りてそれを発見しました。そして、彼がそれに到達したとき、彼がそれを見たり、ダウンロードしたり、場合によっては悪用したりするのを防ぐためのパスワードはありませんでした。

データはElasticSearchクラスターに残され、いかなる形の保護もなしにインターネットに面していました。それは喜んで誰にでもアクセス可能であり、検索エンジンにクエリを入力するのと同じくらい困難でした。

これは、ハッカーがあまりにも賢いためやソフトウェアが弱すぎるためではなく、人々の情報を保護する際にベンダーが簡単で完全に回避可能な構成エラーを犯すために発生する、非常に長いデータリークの最新情報です。実際、別のセキュリティ保護されていないElasticSearchサーバーが、 複数のオンラインカジノのユーザーに属するあらゆる種類の機密データを公開したわずか数日後になります。

ベンダーは、人々を安全に保つという点で、本当にゲームを選択しなければなりません。データ公開インシデントの少なくとも一部を回避するために必要なツールがあり、それらを使用しない言い訳はありません。

November 27, 2019

返信を残す