En server skyddades inte med ett lösenord, och miljontals bankdokument läcktes ut

Bank Documents Exposed by an Unsevured ElasticSearch Cluster

En annan dag, en annan exponerad trove av känslig data. Databasen upptäcktes den 10 januari av säkerhetsforskaren Bob Diachenko. Den hade 24 miljoner poster med en vikt på över 51 GB, och så fort Diachenko såg vad dessa poster innehöll visste han att han måste agera snabbt.

Texten hade tydligen genererats av en OCR-lösning. OCR står för Optical Character Recognition, en teknik som används för att konvertera handskrivna eller tryckta dokument till maskinläsbar text. I det här fallet hade OCR-programvaran skannat intecknings- och kreditrapporter.

Eftersom varje post innehöll olika delar av olika dokument är det svårt att uppskatta det exakta antalet berörda individer. Det är dock rättvist att säga att mycket extremt känslig information lämnades ute utomhus. Databasen innehöll namn, adresser, telefonnummer, kredithistorik, personnummer osv. Som Diachenko själv uttrycker det var databasen "en guldgruva för cyberbrottslingar som skulle ha allt de behöver för att stjäla identiteter, arkivera falska skattedeklarationer, få lån eller kreditkort".

Vem avslöjade uppgifterna?

Det framgick inte omedelbart vem databasen tillhör, varför Diachenko ringde Zack Whittaker från TechCrunch och bad om lite hjälp med utredningen. Efter en närmare granskning fick de reda på att dokumenten går så långt tillbaka som 2008 och utfärdades av flera stora finansiella institut inklusive Wells Fargo, CapitalOne, HSBC samt ett par amerikanska federala avdelningar.

Några som tittade på senare drog de slutsatsen att informationen hade samlats in av Ascension - ett Texas-baserat företag som tillhandahåller dataanalystjänster till banker. Whittaker kom i kontakt med Sandy Campbell, en representant för Ascensions moderbolag, som sa att ja, databasen tillhörde analytikbranschen, men nej, deras system hade inte äventyrats.

Uppenbarligen gjorde en leverantör som anlitats av Ascension det felaktiga. Även om Campbell vägrade att namnge nämnda leverantör, tror Zack Whittaker att det är New York-baserade OpticsML. Med tanke på det faktum att enligt en arkiverad version av sin webbplats (den levande är nere av någon anledning) erbjuder OpticsML OCR-tjänster "till några av de största företagen på inteckningsutrymmet", verkar scenariot inte mycket osannolikt. Som sagt, ingen har officiellt bekräftat informationen.

Den goda nyheten är att efter Citigroup, en av de finansiella institutionerna vars kunder drabbades, grep databasen ned, och den har varit otillgänglig sedan 15 januari.

Hur exponerades uppgifterna?

Bob Diachenko använde inte en smart kodinjicering, lösenord-tvingning eller någon annan typ av hackningsteknik. Istället upptäckte han det med hjälp av allmänt tillgängliga sökmotorer som Shodan och Censys, och när han kom till det fanns det inget lösenord för att hindra honom från att titta på det, ladda ner det eller eventuellt missbruka det.

Uppgifterna lämnades i ett ElasticSearch-kluster och stod inför internet utan någon form av skydd överhuvudtaget. Det var tillgängligt för alla som var villiga att se okej för det och att det var lika svårt att skriva in en fråga i en sökmotor.

Det är det senaste i en mycket lång rad dataläckage som inte inträffar för att hackare är för smarta eller för att programvaran är för svag, utan för att leverantörer gör enkla och helt undvikbara konfigurationsfel när de säkrar människors information. Det kommer faktiskt bara några dagar efter att en annan osäker ElasticSearch-server exponerade alla möjliga känsliga data som tillhör användare av flera onlinekasinon.

Säljare måste verkligen hämta sitt spel när det gäller att hålla människor säkra. De har de verktyg som behövs för att undvika åtminstone några av de data-exponerande incidenterna, och de har inga ursäkter för att inte använda dem.

November 27, 2019

Lämna ett svar