Servidor mal configurado causa vazamento de dados de 57 milhões de americanos
Servidores Elasticsearch configurados incorretamente fizeram mais vítimas após permitir o vazamento de detalhes pessoais de 57 milhões de americanos.
O diretor de pesquisa de risco cibernético da empresa de segurança Hacken, Bob Diachenko, disse que a empresa encontrou um servidor Elasticsearch exposto no mecanismo de busca Shodan, que verifica os dispositivos conectados e os servidores abertos. Ele encontrou pelo menos três endereços IP com clusters Elasticsearch idênticos configurados incorretamente para acesso público.
Os 73 GB de dados ficaram disponíveis publicamente no dia 14 de novembro – quando foi indexada pelo Shodan. No entanto, não está claro por quanto tempo esteve on-line antes desse momento, disse Diachenko. A Hacken descobriu as ocorrências em 20 de novembro e os sites desapareceram alguns dias depois.
O serviço continha dados de quase 57 milhões de cidadãos dos EUA, contendo informações incluindo nome e sobrenome, empregadores, cargo, e-mail, endereço, estado, CEP, número de telefone e endereço IP. Outro índice do mesmo banco de dados incluía mais de 25 milhões de registros de negócios, que continham detalhes sobre empresas, incluindo contagens de funcionários, números de receita e rotas de operadoras.
A Hacken não conseguiu identificar imediatamente a fonte do vazamento, mas Diachenko observou que um dos campos no banco de dados era similar àqueles usados por uma empresa de dados de marketing. Ele não conseguiu entrar em contato com seus executivos para comentar e a empresa ficou com o site off-line pouco antes de ele postar no blog sobre o incidente. No entanto, isso não significa necessariamente que a empresa foi a fonte do vazamento. O que chama atenção é que esse volume de registros pode vazar online sem que ninguém saiba com certeza quem é o responsável.
Elasticsearch é um produto de mecanismo de busca de texto completo lançado em uma base de código aberto. Ele pesquisa uma variedade de tipos de documentos em tempo quase real graças aos seus recursos de pesquisa distribuída. As empresas podem baixar e usar o software em seus próprios servidores ou executá-lo em computadores baseados em nuvem. No entanto, o produto é fornecido com uma configuração de login padrão. Isso facilita o acesso de qualquer pessoa a uma instância do Elasticsearch voltada para o público, a menos que suas credenciais tenham sido alteradas.
A mesma coisa aconteceu recentemente com o aplicativo de massagem Urban, que divulgou os detalhes de 309.000 clientes graças a uma configuração do Elasticsearch que vazou este mês.
Essa violação e o evento Urban estão longe de ser os únicos incidentes de segurança devido a instâncias do Elasticsearch configuradas incorretamente. Hacken disse no início deste mês que a Federação das Indústrias do Estado de São Paulo (FIESP) fez 34 milhões de registros pessoais publicamente disponíveis em um banco de dados Elasticsearch, embora a FIESP tenha negado a alegação.
Diachenko trabalhou anteriormente na Kromtech, que examina regularmente Shodan procurando por exemplos expostos de Elasticsearch, MongoDB e outros. Em outubro de 2017, a Kromtech encontrou as informações privadas de mais de 1.100 jogadores da NFL e seus agentes expostos em um servidor Elasticsearch configurado incorretamente. Uma nota de resgate foi deixada no banco de dados.
Em junho, outro pesquisador descobriu que a empresa de agregação de dados Exactis havia exposto cerca de 340 milhões de registros individuais por meio de um servidor Elasticsearch configurado incorretamente, totalizando quase 2 TB de dados.
Os registros pessoais expostos publicamente em servidores desprotegidos estão distorcendo as estatísticas de violação de dados, aumentando drasticamente o número de registros expostos por violação. Servidores voltados para o público, mal configurados, são um tesouro para ladrões de dados, que precisam apenas de um navegador para localizá-los.
Com informações do blog Naked Security by SOPHOS.
