Serwer nie był chroniony hasłem i wyciekły miliony dokumentów bankowych

Bank Documents Exposed by an Unsevured ElasticSearch Cluster

Kolejny dzień, kolejny odsłonięty zbiór wrażliwych danych. Baza danych została odkryta 10 stycznia przez badacza bezpieczeństwa Boba Diachenko. Miał 24 miliony płyt o wadze ponad 51 GB, a gdy tylko Diachenko zobaczył, co zawierają te płyty, wiedział, że musi działać szybko.

Tekst najwyraźniej został wygenerowany przez rozwiązanie OCR. OCR to skrót od Optical Character Recognition, technologii służącej do konwersji dokumentów pisanych ręcznie lub drukowanych na tekst możliwy do odczytu maszynowego. W tym konkretnym przypadku oprogramowanie OCR zeskanowało raporty hipoteczne i kredytowe.

Ponieważ każdy rekord zawiera różne części różnych dokumentów, trudno jest oszacować dokładną liczbę dotkniętych osób. Można jednak powiedzieć, że wiele bardzo wrażliwych informacji zostało pominiętych. Baza danych zawierała nazwiska, adresy, numery telefonów, historię kredytową, numery ubezpieczenia społecznego itp. Jak to ujął sam Diachenko, baza danych była „kopalnią złota dla cyberprzestępców, którzy mieliby wszystko, czego potrzebowali do kradzieży tożsamości, składania fałszywych deklaracji podatkowych, uzyskać pożyczki lub karty kredytowe”.

Kto ujawnił dane?

Nie od razu wiadomo, do kogo należy baza danych, dlatego Diachenko zadzwonił do Zacka Whittakera z TechCrunch i poprosił o pomoc w dochodzeniu. Po bliższym przyjrzeniu się okazało się, że dokumenty pochodzą z 2008 r. I zostały wydane przez kilka dużych instytucji finansowych, w tym Wells Fargo, CapitalOne, HSBC, a także kilka amerykańskich departamentów federalnych.

W późniejszym czasie doszli do wniosku, że informacje zostały zebrane przez Ascension - firmę z Teksasu, która świadczy usługi analizy danych dla banków. Whittaker skontaktował się z Sandy Campbell, przedstawicielem firmy macierzystej Ascension, która powiedziała, że tak, baza danych należała do branży analitycznej, ale nie, ich systemy nie zostały naruszone.

Najwyraźniej sprzedawca zatrudniony przez Ascension popełnił błąd. Chociaż Campbell odmówił podania nazwy wspomnianego dostawcy, Zack Whittaker uważa, że jest to OpticsML z siedzibą w Nowym Jorku. Biorąc pod uwagę fakt, że zgodnie z zarchiwizowaną wersją strony internetowej (wersja z jakiegoś powodu nie działa), OpticsML oferuje usługi OCR „niektórym z największych firm w obszarze kredytów hipotecznych”, scenariusz nie wydaje się mało prawdopodobny. To powiedziawszy, nikt oficjalnie nie potwierdził informacji.

Dobrą wiadomością jest to, że po Citigroup, jednej z instytucji finansowych, których klienci zostali dotknięci interwencją, baza danych została usunięta i była niedostępna od 15 stycznia.

Jak ujawniono dane?

Bob Diachenko nie zastosował sprytnego zastrzyku kodu, brutalnego wymuszania hasła ani żadnej innej techniki hakowania. Zamiast tego odkrył go za pomocą publicznie dostępnych wyszukiwarek, takich jak Shodan i Censys, a kiedy do niego dotarł, nie było hasła, które powstrzymałoby go przed obejrzeniem, pobraniem lub możliwym nadużyciem.

Dane pozostały w klastrze ElasticSearch i były skierowane do Internetu bez żadnej formy ochrony. Był dostępny dla każdego, kto chciałby sobie z tym poradzić, a znalezienie go było tak trudne, jak wpisanie zapytania w wyszukiwarce.

Jest to najnowsza z bardzo długiej linii wycieków danych, która nie dzieje się, ponieważ hakerzy są zbyt inteligentni lub dlatego, że oprogramowanie jest zbyt słabe, ale ponieważ dostawcy popełniają proste i całkowicie możliwe do uniknięcia błędy konfiguracji podczas zabezpieczania informacji. W rzeczywistości przychodzi zaledwie kilka dni po tym, jak inny niezabezpieczony serwer ElasticSearch ujawnił wszelkiego rodzaju poufne dane, które należą do użytkowników kilku kasyn online.

Sprzedawcy muszą naprawdę podnieść swoją grę, jeśli chodzi o zapewnienie ludziom bezpieczeństwa. Dysponują narzędziami niezbędnymi do uniknięcia co najmniej niektórych incydentów ujawniających dane i nie mają wymówek, aby ich nie używać.

November 27, 2019

Zostaw odpowiedź