Serveris nebuvo apsaugotas slaptažodžiu, o milijonai bankinių dokumentų nutekėjo

Bank Documents Exposed by an Unsevured ElasticSearch Cluster

Kita diena, kitas slaptas duomenų srautas. Duomenų bazę sausio 10 dieną atrado saugumo tyrinėtojas Bobas Diachenko. Joje buvo 24 milijonai įrašų, kurių svoris viršijo 51 GB, ir kai tik Diachenko pamatė, ką šiuose įrašuose yra, jis suprato, kad privalo veikti greitai.

Matyt, tekstas buvo sukurtas naudojant OCR sprendimą. OCR reiškia optinį simbolių atpažinimą - technologijos elementą, naudojamą ranka rašytus ar atspausdintus dokumentus paversti mašininiu skaitomu tekstu. Šiuo konkrečiu atveju OCR programinė įranga nuskenavo hipotekos ir kredito ataskaitas.

Kadangi kiekviename įraše buvo skirtingos skirtingų dokumentų dalys, sunku įvertinti tikslų paveiktų asmenų skaičių. Tačiau teisinga sakyti, kad daug nepaprastai jautrios informacijos buvo palikta viešai. Duomenų bazė esančius pavadinimus, adresus, telefono numerius, kredito istorija, socialinio draudimo numeriai, pats ir tt Kaip Diachenko įdėkite jį į duomenų bazę buvo "aukso kasyklos kibernetinių nusikaltėlių, kurie turi viską, ko jiems reikia vogti tapatybes, failo klaidinga mokesčių deklaracijas, gauti paskolas ar kreditines korteles“.

Kas paviešino duomenis?

Nebuvo iškart aišku, kam priklausė duomenų bazė, todėl Diachenko paskambino Zackui Whittakeriui iš „TechCrunch“ ir paprašė šiokio tokio tyrimo pagalbos. Atidžiau pažiūrėję, jie sužinojo, kad dokumentai yra sukurti dar 2008 m. Ir juos išdavė kelios pagrindinės finansų įstaigos, įskaitant „Wells Fargo“, „CapitalOne“, HSBC, taip pat keli JAV federaliniai departamentai.

Kai kurie vėliau pokštavo, jie padarė išvadą, kad informaciją rinko „Ascension“ - Teksaso verslo įmonė, teikianti duomenų analizės paslaugas bankams. Whittaker susisiekė su Sandy Campbell, „Ascension“ patronuojančios įmonės atstovu, kuris teigė, kad taip, duomenų bazė priklausė analitikos verslui, bet ne, jų sistemoms nebuvo padarytas pavojus.

Matyt, Ascension samdytas pardavėjas suklydo. Nors Campbellas atsisakė įvardinti minėtą pardavėją, Zackas Whittakeris mano, kad tai Niujorke įsikūrusi „OpticsML“. Atsižvelgiant į tai, kad pagal archyvuotą savo tinklalapio versiją (tiesioginė dėl tam tikrų priežasčių neveikia), „OpticsML“ siūlo OCR paslaugas „kai kurioms iš didžiausių hipotekos erdvės bendrovių“, scenarijus neatrodo labai mažai tikėtinas. Beje, niekas oficialiai nepatvirtino informacijos.

Geros žinios yra tai, kad po „Citigroup“ įsikišo viena iš finansų įstaigų, kurios klientai buvo paveikti, duomenų bazė buvo panaikinta ir nuo sausio 15 dienos ji buvo neprieinama.

Kaip buvo atskleisti duomenys?

Bobas Diachenko nenaudojo protingo kodo įvedimo, slapto slaptažodžio prievartavimo ar bet kokio kito įsilaužimo būdo. Vietoj to, jis atrado tai naudodamas viešai prieinamas paieškos sistemas, tokias kaip Shodanas ir Censys, ir kai pateko į ją, nebuvo slaptažodžio, kuris neleistų jam į tai žiūrėti, atsisiųsti ar galbūt piktnaudžiauti.

Duomenys buvo palikti „ElasticSearch“ klasteryje ir buvo nukreipti į internetą be jokios apsaugos formos. Tai galėjo pasiekti visi norintys to ieškoti, ir ją rasti buvo taip sunku, kaip įvesti užklausą paieškos sistemoje.

Tai naujausia labai ilgo duomenų nutekėjimo eilutė, kuri atsitinka ne todėl, kad įsilaužėliai yra per daug išmanūs ar dėl to, kad programinė įranga yra per silpna, bet todėl, kad pardavėjai daro paprastas ir visiškai išvengiamas konfigūravimo klaidas, saugant žmonių informaciją. Tai iš tikrųjų ateina keliomis dienomis po to, kai kitas neužtikrintas „ElasticSearch“ serveris paviešino įvairius neskelbtinus duomenis, priklausančius kelių internetinių kazino vartotojams.

Pardavėjai, norėdami apsaugoti žmones, tikrai turi pasirinkti savo žaidimą. Jie turi priemones, kurių reikia, kad būtų išvengta bent kelių duomenų atskleidimo incidentų, ir neturi jokio pasiteisinimo, kodėl jų nenaudoja.

November 27, 2019

Palikti atsakymą