Исследовательская группа Cybernews обнаружила, что Thomson Reuters оставил по крайней мере три своих базы данных доступными для всех. Один из открытых экземпляров, общедоступная база данных ElasticSearch объемом 3 ТБ, содержит множество конфиденциальной актуальной информации со всех платформ компании.
Thomson Reuters предоставляет клиентам такие продукты, как медиа-инструмент для корпоративных клиентов Reuters Connect, служба юридических исследований и база данных Westlaw, система автоматизации налогообложения ONESOURCE, пакет онлайн-исследований редакционных и исходных материалов Checkpoint и другие.
Данные, которые собирает компания — настоящее сокровище для злоумышленников, и, вероятно, стоят миллионы долларов на подпольных криминальных форумах.
Например, одна из обнаруженных исследователями CyberNews баз содержала учетные данные для доступа к сторонним серверам. Детали хранились в незашифрованном текстовом формате, видимом для всех, кто просматривал открытый экземпляр. По словам Мантаса Саснаускаса, руководителя отдела исследований в области безопасности Cybernews, такая информация позволит злоумышленникам закрепиться в системах, используемых компаниями, сотрудничающими с Thomson Reuters.
Временные метки на образцах, которые получили исследователи, показывают, что данные актуальны и были зарегистрированы в последнее время, некоторые из которых датированы 26 октября текущего года.
Помимо учетных данных, утечка включает документы с корпоративной и юридической информацией о конкретных предприятиях и физических лицах.
«Информация, хранящаяся на сервере, чрезвычайно чувствительна. Подобные случаи вызывают вопросы о корпоративной практике сбора данных. Последствия утечки данных такого масштаба вызывают, мягко говоря, беспокойство», — пояснил Саснаускас.
Thomson Reuters постаралась преуменьшить значение проблемы, заявив, что из трех неправильно настроенных серверов, о которых команда Cybernews сообщила компании, два изначально были спроектированы так, чтобы быть общедоступными. Третий же сервер якобы был нерабочим, предназначенным для «журналов приложений из среды подготовки/внедрения». Однако, надо отдать должное, компания немедленно устранила проблему и начала уведомлять своих клиентов.
По словам исследователей, наиболее вероятной причиной внезапного появления набора данных в сети является ошибка неправильной конфигурации.
«Мы считаем, что это происшествие было вызвано неправильной настройкой сервиса AWS Elastic Load Balancing, для которого не полностью были настроены правила контроля доступа, что привело к тому, что сервис стал общедоступным», — пояснили в CyberNews.
Набор данных был открыт несколько дней — в то время, как вредоносные боты способны обнаруживать экземпляры в течение нескольких часов.
Злоумышленники могут использовать утечку для самых разнообразных атак, включая атаки на цепочку поставок, приемы социальной инженерии и засылку программ-вымогателей.
«Несмотря на то, что компания зашифровала связь с сервером в формате SSL, все меры безопасности не сработают из-за простой человеческой ошибки. Всегда должны быть меры по снижению этих рисков, чтобы данные не попали в руки злоумышленников. Мы видим здесь, что методы обеспечения безопасности были не такими, как вы ожидаете от такого крупного бизнеса, как Thomson Reuters», — сказал Саснаускас.
Для того, чтобы минимизировать риски от подобных происшествий, эксперты советуют хранить пароли и учетные данные в зашифрованном виде, избегая баз в текстовом формате. Кроме того, настоятельно рекомендуется хранить информацию, позволяющую установить личность (personally identifiable information, PII), например, корпоративную электронную почту, отдельно от всей прочей информации.
С заботой о вашей безопасности, команда Origin Security
