Milhões de Documentos Bancários Vazaram Porque um Servidor não foi Protegido por uma Senha

Bank Documents Exposed by an Unsevured ElasticSearch Cluster

Outro dia, outro grupo exposto de dados confidenciais. O banco de dados foi descoberto em 10 de janeiro pelo pesquisador de segurança Bob Diachenko. Tinha 24 milhões de registros com mais de 51 GB e, assim que Diachenko viu o que esses registros continham, ele sabia que deveria agir rapidamente.

Aparentemente, o texto foi gerado por uma solução de OCR. OCR significa reconhecimento óptico de caracteres, uma peça de tecnologia usada para converter documentos manuscritos ou impressos em texto legível por máquina. Nesse caso específico, o software de OCR digitalizou relatórios de hipotecas e créditos.

Como cada registro continha partes diferentes de documentos diferentes, é difícil estimar o número exato de indivíduos afetados. É justo dizer, no entanto, que muita informação extremamente sensível foi deixada em aberto. O banco de dados continha nomes, endereços, números de telefone, histórico de crédito, números do Seguro Social, etc. Como o próprio Diachenko coloca, o banco de dados era "uma mina de ouro para cibercriminosos que teriam tudo o que precisassem para roubar identidades, registrar declarações fiscais falsas, obter empréstimos ou cartões de crédito".

Quem expôs os dados?

Não ficou claro imediatamente a quem pertencia o banco de dados, motivo pelo qual Diachenko ligou para Zack Whittaker, do TechCrunch, e pediu ajuda na investigação. Após uma análise mais detalhada, eles descobriram que os documentos datam de 2008 e foram emitidos por várias instituições financeiras importantes, incluindo Wells Fargo, CapitalOne, HSBC, além de alguns departamentos federais dos EUA.

Um pouco mais tarde, eles concluíram que as informações foram coletadas pela Ascension - uma empresa do Texas que fornece serviços de análise de dados a bancos. Whittaker entrou em contato com Sandy Campbell, representante da empresa-mãe da Ascension, que disse que sim, o banco de dados pertencia ao negócio de análise, mas não, seus sistemas não haviam sido comprometidos.

Aparentemente, um vendedor contratado pela Ascension cometeu um erro. Embora Campbell se recusou a nomear o fornecedor, Zack Whittaker acredita que é o OpticsML, com sede em Nova York. Considerando o fato de que, de acordo com uma versão arquivada de seu site (a versão ao vivo está desativada por algum motivo), o OpticsML oferece serviços de OCR "para algumas das maiores empresas do espaço Hipotecário", o cenário não parece muito improvável. Dito isto, ninguém confirmou oficialmente a informação.

A boa notícia é que, depois que o Citigroup, uma das instituições financeiras cujos clientes foram afetados, interveio, o banco de dados foi desativado e está inacessível desde 15 de janeiro.

Como os dados foram expostos?

Bob Diachenko não usou uma injeção inteligente de código, força bruta de senha ou qualquer outro tipo de técnica de hacking. Em vez disso, ele o descobriu com a ajuda de mecanismos de pesquisa publicamente disponíveis, como Shodan e Censys, e quando ele chegou a ele, não havia senha para impedi-lo de vê-lo, baixá-lo ou possivelmente abusá-lo.

Os dados foram deixados em um cluster ElasticSearch e estavam voltados para a Internet sem qualquer forma de proteção. Era acessível a qualquer pessoa que estivesse disposta a aceitá-lo e achava tão difícil quanto inserir uma consulta em um mecanismo de pesquisa.

É o mais recente de uma longa linha de vazamentos de dados que ocorre não porque os hackers são muito inteligentes ou porque o software é muito fraco, mas porque os fornecedores cometem erros de configuração simples e completamente evitáveis ao proteger as informações das pessoas. Na verdade, ocorre apenas alguns dias após outro servidor ElasticSearch não seguro expor todos os tipos de dados confidenciais que pertencem aos usuários de vários cassinos online.

Os fornecedores devem realmente aprender a manter as pessoas em segurança. Eles têm as ferramentas necessárias para evitar pelo menos alguns dos incidentes de exposição de dados e não têm desculpas para não usá-los.

June 11, 2019

Deixe uma Resposta