服务器未受密码保护,数百万银行文件被泄露

Bank Documents Exposed by an Unsevured ElasticSearch Cluster

另一天,另一个暴露的敏感数据库。该数据库于1月10日由安全研究员Bob Diachenko发现。它拥有超过51GB的2400万条记录,一旦Diachenko看到这些记录包含的内容,他就知道他必须迅速采取行动。

该文本显然是由OCR解决方案生成的。 OCR代表光学字符识别,这是一种用于将手写或打印文档转换为机器可读文本的技术。在这个特定的例子中,OCR软件已经扫描了抵押贷款和信用报告。

由于每条记录包含不同文档的不同部分,因此很难估计受影响个体的确切数量。然而,可以公平地说,许多极其敏感的信息在公开场合被遗漏了。该数据库包含姓名,地址,电话号码,信用记录,社会安全号码等。正如Diachenko自己所说 ,该数据库是“网络罪犯的金矿,他们拥有窃取身份所需的一切,提交虚假纳税申报表,获得贷款或信用卡“。

谁暴露了这些数据?

目前还不清楚数据库属于哪个,这就是为什么Diachenko 从TechCrunch打电话给Zack Whittaker并要求对调查提供一些帮助。仔细观察后,他们发现这些文件可以追溯到2008年,并由几家主要金融机构发行,包括富国银行,CapitalOne,汇丰银行以及几个美国联邦部门。

稍后他们会更加讨论,他们得出结论,这些信息是由Ascension收集的 - Ascension是一家总部位于德克萨斯州的企业,为银行提供数据分析服务。 Whittaker与Ascension母公司的代表Sandy Campbell取得联系,他说是的,数据库确实属于分析业务,但不是,他们的系统没有受到损害。

显然,阿森松聘请的供应商犯了大错。虽然坎贝尔拒绝透露这家供应商的名字,但扎克惠特克认为这是纽约的OpticsML。考虑到根据其网站的存档版本 (由于某种原因导致现场版本停机),OpticsML向“抵押贷款空间中的一些最大公司”提供OCR服务,这种情况似乎不太可能。也就是说,没有人正式确认这些信息。

好消息是,在客户受影响的金融机构之一花旗集团进行干预后,数据库被取消,自1月15日以来一直无法访问。

数据是如何公开的?

Bob Diachenko没有使用聪明的代码注入,密码暴力破解或任何其他类型的黑客攻击技术。相反,他在Shodan和Censys等公共搜索引擎的帮助下发现了它,当他到达时,没有密码阻止他查看,下载或者可能滥用它。

数据留在ElasticSearch集群上,面对互联网,没有任何形式的保护。任何愿意为之服务的人都可以访问它,并且发现它与在搜索引擎中输入查询一样困难。

它是数据泄漏的最新版本,不是因为黑客太聪明或软件太弱,而是因为供应商在保护人们的信息时做出简单且完全可避免的配置错误. 它实际上是在几天后,另一个不安全的ElasticSearch服务器暴露了属于几个在线赌场用户的各种敏感数据。

在保证人们安全方面,供应商必须真正开始游戏。他们拥有避免至少一些数据暴露事件所需的工具,他们没有借口不使用它们。

January 28, 2019

发表评论

重要!若要继续到下一步,请完成以下简单的数学问题。
Please leave these two fields as is:
7 + 5是什么?