Nueva fuga de millones de datos en una base explotada con Elasticsearch

293
fuga de datosw

La compañía VPMmentor ha encontrado en línea una base de datos masiva que almacenaba decenas de millones de mensajes de texto SMS, la mayoría de los cuales fueron enviados por diversas empresas a potenciales clientes. La base de datos utilizaba el servidor de búsqueda de texto completo Elasticsearch.

La base de datos es administrada por TrueDialog, un proveedor de SMS de negocios para empresas y proveedores de educación superior, que permite a empresas, colegios y universidades enviar mensajes de texto masivos a sus clientes y estudiantes. La empresa utiliza una base de datos Elasticsearch, que normalmente no está diseñada para el uso de URL. VPMmentor pudo acceder a través del navegador y manipular los criterios de búsqueda de URL para exponer los esquemas de la base de datos.

TrueDialog, con sede en Austin, Texas, vende como una de las ventajas de su servicio que los destinatarios también pueden enviar mensajes de texto, lo que les permite tener conversaciones bidireccionales con marcas o empresas. Durante años la base de datos estuvo almacenando mensajes de texto tanto enviados y recibidos por sus clientes, procesados por TrueDialog. El problema es que se dejó desprotegida en Internet sin una contraseña, ninguno de los datos estaba encriptado, por lo cual estaba al alcance de todos los que se molestaran en consultarla.

20 millones de rusos y 20 millones de ecuatorianos ya resultaron afectados

En menos de un años se han detectado al menos cuatro casos de exposición con Elastic Search.. En su blog Sophos manifestaba a mediados del pasado mes de noviembre que los servicios de elasticsearch simplifican el almacenamiento, la búsqueda y el análisis de grandes volúmenes de datos, pero es lo que les convierte en objetivos principales de los cibercriminales. Al tener un “modo público” puede dejar expuestos millones de datos.

Es lo que ya ocurrió con anterioridad con la identificación personal de más de 20 millones de ciudadanos ecuatorianos y más de 20 millones de registros fiscales pertenecientes a ciudadanos rusos.

El verdadero problema, según expertos consultados por Escudo Digital, ocurre cuando alguien, por comodidad o pereza, utiliza datos reales para hacer una prueba de concepto . Están probando un producto con datos reales en la nube. Son dos fallos muy graves. Si está en la nube puede tener conectividad con mucha más gente que si se hace desde un servidor. Llevan los datos a su máquina en la nube y despliegan y configuran un servidor de búsqueda de texto completo, por ejemplo Elasticsearch .

Puede que no tenga la autenticación adecuada. Y encuentran la extención X-Pack y lo instalan. Ya tiene Login, cuando la licencia de módulo de seguridad expira, permanece solo el soporte básico. El soporte básico no cubre la autenticación y deja expuesta la base de datos. Incluso si este soporte básico estuviera funcionando, si no hay una parametrización exquisita de la autentificación, esto podría ser ser un agujero de seguridad. Hay que buscar el sistema más seguro. Una buena herramienta de Business Intelligence es imprescindible, tanto como configurar la seguridad de los productos de la manera adecuada.

Según ha publicado Trench Crunch la base de datos contenía información sobre solicitudes de financiación universitaria,

códigos de descuento y alertas de trabajo, entre otras cosas. Los investigadores de seguridad Noam Rotem y Ran Locar encontraron la base de datos expuesta a principios de este mes. Incluía nombres, diálogos, cuentas de correos, direcciones y números de teléfonos, fechas y horas a los que fueron mandados los mensajes.

Pero los datos también contenían mensajes de texto confidenciales, como códigos de dos factores y otros mensajes de seguridad, que pueden haber permitido que cualquiera obtenga acceso a las cuentas en línea de una persona.

Muchos de los mensajes contenían códigos para acceder a servicios médicosm, obtención de códigos de restablecimiento de contraseña e inicio de sesión en Facebook y Google. Y por supuesto, los nombres de usuario y contraseñas de los clientes de True Dialog.