服務器未受密碼保護,數百萬銀行文件被洩露

Bank Documents Exposed by an Unsevured ElasticSearch Cluster

另一天,另一個暴露的敏感數據庫。該數據庫於1月10日由安全研究員Bob Diachenko發現。它擁有超過51GB的2400萬條記錄,一旦Diachenko看到這些記錄包含的內容,他就知道他必須迅速採取行動。

該文本顯然是由OCR解決方案生成的。 OCR代表光學字符識別,這是一種用於將手寫或打印文檔轉換為機器可讀文本的技術。在這個特定的例子中,OCR軟件已經掃描了抵押貸款和信用報告。

由於每條記錄包含不同文檔的不同部分,因此很難估計受影響個體的確切數量。然而,可以公平地說,許多極其敏感的信息在公開場合被遺漏了。該數據庫包含姓名,地址,電話號碼,信用記錄,社會安全號碼等。正如Diachenko自己所說 ,該數據庫是“網絡罪犯的金礦,他們擁有竊取身份所需的一切,提交虛假納稅申報表,獲得貸款或信用卡“。

誰暴露了這些數據?

目前還不清楚數據庫屬於哪個,這就是為什麼Diachenko 從TechCrunch打電話給Zack Whittaker並要求對調查提供一些幫助。仔細觀察後,他們發現這些文件可以追溯到2008年,並由幾家主要金融機構發行,包括富國銀行,CapitalOne,匯豐銀行以及幾個美國聯邦部門。

稍後他們會更加討論,他們得出結論,這些信息是由Ascension收集的 - Ascension是一家總部位於德克薩斯州的企業,為銀行提供數據分析服務。 Whittaker與Ascension母公司的代表Sandy Campbell取得聯繫,他說是的,數據庫確實屬於分析業務,但不是,他們的系統沒有受到損害。

顯然,阿森松聘請的供應商犯了大錯。雖然坎貝爾拒絕透露這家供應商的名字,但扎克惠特克認為這是紐約的OpticsML。考慮到根據其網站的存檔版本 (由於某種原因導致現場版本停機),OpticsML向“抵押貸款空間中的一些最大公司”提供OCR服務,這種情況似乎不太可能。也就是說,沒有人正式確認這些信息。

好消息是,在客戶受影響的金融機構之一花旗集團進行干預後,數據庫被取消,自1月15日以來一直無法訪問。

數據是如何公開的?

Bob Diachenko沒有使用聰明的代碼注入,密碼暴力破解或任何其他類型的黑客攻擊技術。相反,他在Shodan和Censys等公共搜索引擎的幫助下發現了它,當他到達時,沒有密碼阻止他查看,下載或者可能濫用它。

數據留在ElasticSearch集群上,面對互聯網,沒有任何形式的保護。任何願意為之服務的人都可以訪問它,並且發現它與在搜索引擎中輸入查詢一樣困難。

它是數據洩漏的最新版本,不是因為黑客太聰明或軟件太弱,而是因為供應商在保護人們的信息時做出簡單且完全可避免的配置錯誤. 它實際上是在幾天后,另一個不安全的ElasticSearch服務器暴露了屬於幾個在線賭場用戶的各種敏感數據。

在保證人們安全方面,供應商必須真正開始遊戲。他們擁有避免至少一些數據暴露事件所需的工具,他們沒有藉口不使用它們。

January 28, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
8 + 6是什麼?