Сервер не защищен паролем, а утечка миллионов банковских документов

Bank Documents Exposed by an Unsevured ElasticSearch Cluster

Еще один день, еще один разоблаченный поток конфиденциальных данных. База данных была обнаружена 10 января исследователем безопасности Бобом Дьяченко. У него было 24 миллиона записей весом более 51 ГБ, и как только Дьяченко увидел, что содержалось в этих записях, он понял, что должен действовать быстро.

Текст, очевидно, был сгенерирован с помощью решения OCR. OCR расшифровывается как Optical Character Recognition, часть технологии, которая используется для преобразования рукописных или печатных документов в машиночитаемый текст. В данном конкретном случае программное обеспечение OCR сканировало отчеты об ипотеке и кредитах.

Поскольку каждая запись содержала разные части разных документов, сложно оценить точное число пострадавших. Справедливо сказать, однако, что много чрезвычайно чувствительной информации было оставлено в открытом доступе. База данных содержала имена, адреса, номера телефонов, кредитную историю, номера социального страхования и т. Д. Как говорит сам Дьяченко, база данных была «золотым рудником для киберпреступников, у которых было бы все необходимое для кражи личных данных, подачи ложных налоговых деклараций, получать кредиты или кредитные карты".

Кто выставил данные?

Сразу было неясно, кому принадлежала база данных, поэтому Дьяченко позвонил Заку Уиттакеру из TechCrunch и попросил помощи в расследовании. После более внимательного изучения выяснилось, что документы датируются еще в 2008 году и были выпущены несколькими крупными финансовыми институтами, включая Wells Fargo, CapitalOne, HSBC, а также пару федеральных департаментов США.

Позже, возмущаясь, они пришли к выводу, что информация была собрана Ascension - техасским бизнесом, который предоставляет банкам услуги анализа данных. Уиттакер связался с Сэнди Кэмпбелл, представителем материнской компании Ascension, который сказал, что да, база данных принадлежала аналитическому бизнесу, но нет, их системы не были скомпрометированы.

Видимо, продавец, нанятый Вознесением, совершил ошибку. Хотя Кэмпбелл отказался назвать названного поставщика, Зак Уиттакер считает, что это базируется в Нью-Йорке OpticsML. Учитывая тот факт, что, согласно архивной версии своего веб-сайта (по какой-то причине он не работает), OpticsML предлагает услуги OCR «некоторым крупнейшим компаниям на рынке ипотечного кредитования», такой сценарий не представляется маловероятным. При этом никто официально не подтвердил информацию.

Хорошей новостью является то, что после того, как Citigroup, одно из финансовых учреждений, чьи клиенты пострадали, вмешались, база данных была удалена, и она была недоступна с 15 января.

Как были выставлены данные?

Боб Дьяченко не использовал умную инъекцию кода, взлом паролей и другие методы взлома. Вместо этого он обнаружил это с помощью общедоступных поисковых систем, таких как Shodan и Censys, и когда он добрался до него, не было пароля, чтобы помешать ему взглянуть на него, загрузить его или, возможно, злоупотребить им.

Данные оставались в кластере ElasticSearch и находились в Интернете без какой-либо защиты. Он был доступен для всех, кто хотел бы согласиться, и найти его было так же сложно, как ввести запрос в поисковик.

Это последняя из очень длинной линии утечек данных, которая происходит не потому, что хакеры слишком умны или потому, что программное обеспечение слишком слабое, а потому, что поставщики допускают простые и полностью предотвращаемые ошибки конфигурации при защите информации людей. На самом деле это происходит через несколько дней после того, как другой незащищенный сервер ElasticSearch раскрыл все виды конфиденциальных данных, принадлежащих пользователям нескольких онлайн-казино.

Продавцы должны действительно поднять свою игру, когда речь заходит о безопасности людей. У них есть инструменты, необходимые для того, чтобы избежать хотя бы некоторых инцидентов, связанных с раскрытием данных, и у них нет оправданий тому, что они не используются.

November 27, 2019

Оставьте Ответ