Een server was niet beveiligd met een wachtwoord en miljoenen bankdocumenten waren gelekt

Bank Documents Exposed by an Unsevured ElasticSearch Cluster

Nog een dag, nog een keer blootgesteld aan gevoelige gegevens. De database is op 10 januari ontdekt door beveiligingsonderzoeker Bob Diachenko. Het had 24 miljoen records met een gewicht van meer dan 51 GB, en zodra Diachenko zag wat deze records bevatten, wist hij dat hij snel moest handelen.

De tekst was blijkbaar gegenereerd door een OCR-oplossing. OCR staat voor Optical Character Recognition, een stukje technologie dat wordt gebruikt om handgeschreven of gedrukte documenten om te zetten in machineleesbare tekst. In dit specifieke geval had de OCR-software hypotheek- en kredietrapporten gescand.

Omdat elk record verschillende delen van verschillende documenten bevatte, is het moeilijk om het exacte aantal betrokken personen te schatten. Het is echter eerlijk om te zeggen dat veel extreem gevoelige informatie in de openbaarheid is gelaten. De database bevat namen, adressen, telefoonnummers, kredietgeschiedenis, sofi-nummers, enz. Zoals Diachenko zelf zegt, de database was "een goudmijn voor cybercriminelen die alles hadden wat ze nodig hadden om identiteiten te stelen, valse belastingaangiften in te dienen, leningen of creditcards krijgen".

Wie heeft de gegevens blootgelegd?

Het was niet meteen duidelijk van wie de database was. Daarom belde Diachenko Zack Whittaker van TechCrunch en vroeg om hulp bij het onderzoek. Bij nadere beschouwing kwamen ze erachter dat de documenten al in 2008 dateren en werden uitgegeven door verschillende grote financiële instellingen, waaronder Wells Fargo, CapitalOne, HSBC en enkele Amerikaanse federale afdelingen.

Later kwamen ze nog wat rondneuzen en concludeerden dat de informatie was verzameld door Ascension - een in Texas gevestigd bedrijf dat gegevensanalyseservices levert aan banken. Whittaker nam contact op met Sandy Campbell, een vertegenwoordiger van het moederbedrijf van Ascension, die zei dat ja, de database wel tot de analytische business behoorde, maar nee, hun systemen waren niet aangetast.

Blijkbaar heeft een door Ascension ingehuurde verkoper de blunder gemaakt. Hoewel Campbell de genoemde leverancier weigerde te noemen, gelooft Zack Whittaker dat het in New York gevestigde OpticsML is. Gezien het feit dat volgens een gearchiveerde versie van haar website (de live versie is om een of andere reden niet beschikbaar), OpticsML OCR-diensten aanbiedt "aan enkele van de grootste bedrijven in de hypotheekruimte", lijkt het scenario niet erg onwaarschijnlijk. Dat gezegd hebbende, niemand heeft de informatie officieel bevestigd.

Het goede nieuws is dat, na Citigroup, een van de financiële instellingen waarvan de klanten werden getroffen, tussenbeide kwam, de database werd verwijderd en sinds 15 januari niet meer toegankelijk is.

Hoe zijn de gegevens bekendgemaakt?

Bob Diachenko gebruikte geen slimme code-injectie, wachtwoord-brute-forcing of een ander type hacktechniek. In plaats daarvan ontdekte hij het met behulp van openbaar beschikbare zoekmachines zoals Shodan en Censys, en toen hij eraan kwam, was er geen wachtwoord om te voorkomen dat hij ernaar keek, het downloadde of mogelijk misbruikte.

De gegevens werden achtergelaten op een ElasticSearch-cluster en werden zonder enige vorm van bescherming geconfronteerd met internet. Het was toegankelijk voor iedereen die het goed wilde vinden, en het vinden was net zo moeilijk als het invoeren van een zoekopdracht in een zoekmachine.

Het is de nieuwste in een zeer lange lijn van datalekken die niet gebeurt omdat hackers te slim zijn of omdat software te zwak is, maar omdat leveranciers eenvoudige en volledig vermijdbare configuratiefouten maken bij het beveiligen van informatie van mensen. Het komt eigenlijk slechts enkele dagen nadat een andere onbeveiligde ElasticSearch-server allerlei gevoelige gegevens heeft onthuld die toebehoren aan gebruikers van verschillende online casino's.

Verkopers moeten echt hun spel oppikken als het gaat om het beschermen van mensen. Ze hebben de tools die nodig zijn om ten minste enkele van de incidenten die gegevens blootleggen te voorkomen, en ze hebben geen excuses om ze niet te gebruiken.

November 27, 2019

Laat een antwoord achter