En server ble ikke beskyttet med passord, og millioner av bankdokumenter ble lekket

Bank Documents Exposed by an Unsevured ElasticSearch Cluster

Nok en dag, en annen utsatt tro av sensitive data. Databasen ble oppdaget 10. januar av sikkerhetsforsker Bob Diachenko. Den hadde 24 millioner poster på over 51 GB, og så snart Diachenko så hva disse postene inneholdt, visste han at han måtte handle raskt.

Teksten hadde tilsynelatende blitt generert av en OCR-løsning. OCR står for Optical Character Recognition, et stykke teknologi som brukes til å konvertere håndskrevne eller trykte dokumenter til maskinlesbar tekst. I dette tilfellet hadde OCR-programvaren skannet pantelåns- og kredittrapporter.

Fordi hver post inneholdt forskjellige deler av forskjellige dokumenter, er det vanskelig å estimere det nøyaktige antallet berørte individer. Det er imidlertid rimelig å si at mye ekstremt sensitiv informasjon ble utelatt i det fri. Databasen inneholdt navn, adresser, telefonnumre, kreditthistorie, personnummer osv. Som Diachenko selv uttrykker det, var databasen "en gullgruve for cyberkriminelle som ville ha alt de trenger for å stjele identiteter, arkivere falske selvangivelser, få lån eller kredittkort".

Hvem utsatte dataene?

Det ble ikke umiddelbart vist hvem databasen tilhørte, og det er grunnen til at Diachenko ringte Zack Whittaker fra TechCrunch og ba om litt hjelp med etterforskningen. Etter en nærmere titt, fant de ut at dokumentene dateres så langt tilbake som i 2008 og ble utstedt av flere store finansinstitusjoner, inkludert Wells Fargo, CapitalOne, HSBC samt et par amerikanske føderale avdelinger.

Noe mer pirket rundt senere konkluderte de med at informasjonen hadde blitt samlet inn av Ascension - en Texas-basert virksomhet som leverer dataanalytiske tjenester til bankene. Whittaker kom i kontakt med Sandy Campbell, en representant for Ascensions morselskap, som sa at ja, databasen tilhørte analysevirksomheten, men nei, systemene deres hadde ikke blitt kompromittert.

Tilsynelatende gjorde en leverandør ansatt av Ascension det rene. Selv om Campbell nektet å nevne nevnte leverandør, mener Zack Whittaker at det er New York-baserte OpticsML. Tatt i betraktning det faktum at i henhold til en arkivert versjon av nettstedet (den live er nede av en eller annen grunn), tilbyr OpticsML OCR-tjenester "til noen av de største selskapene på pantelånet", virker scenariet ikke veldig usannsynlig. Når det er sagt, har ingen offisielt bekreftet informasjonen.

Den gode nyheten er at etter Citigroup, en av finansinstitusjonene hvis klienter ble berørt, grep inn, ble databasen tatt ned, og den har vært utilgjengelig siden 15. januar.

Hvordan ble dataene eksponert?

Bob Diachenko brukte ikke en smart kodeinjeksjon, passord-brute-tvang eller noen annen type hacking-teknikk. I stedet oppdaget han det ved hjelp av offentlig tilgjengelige søkemotorer som Shodan og Censys, og da han kom til det, var det ingen passord for å hindre ham i å se på den, laste ned den eller muligens misbruke den.

Dataene ble lagt igjen i en ElasticSearch-klynge og sto overfor internett uten noen form for beskyttelse overhodet. Det var tilgjengelig for alle som var villige til å se ok for det, og synes det var like vanskelig som å legge inn et spørsmål i en søkemotor.

Det er det siste på en veldig lang rekke datalekkasjer som ikke skjer fordi hackere er for smarte eller fordi programvare er for svak, men fordi leverandører gjør enkle og helt unngåelige konfigurasjonsfeil når de sikrer folks informasjon. Det kommer faktisk bare dager etter at en annen usikret ElasticSearch-server eksponert for alle slags sensitive data som tilhører brukere av flere online kasinoer.

Selgere må virkelig hente spillet sitt når det gjelder å holde folk trygge. De har verktøyene som trengs for å unngå i det minste noen av de data-eksponerende hendelsene, og de har ingen unnskyldninger for ikke å bruke dem.

November 27, 2019

Legg igjen et svar