Снова человеческий фактор: из Thomson Reuters утекли данные на миллионы долларов из-за неправильной конфигурации серверов

Исследовательская группа Cybernews обнаружила, что Thomson Reuters оставил по крайней мере три своих базы данных доступными для всех. Один из открытых экземпляров, общедоступная база данных ElasticSearch объемом 3 ТБ, содержит множество конфиденциальной актуальной информации со всех платформ компании.

Thomson Reuters предоставляет клиентам такие продукты, как медиа-инструмент для корпоративных клиентов Reuters Connect, служба юридических исследований и база данных Westlaw, система автоматизации налогообложения ONESOURCE, пакет онлайн-исследований редакционных и исходных материалов Checkpoint и другие.

Данные, которые собирает компания — настоящее сокровище для злоумышленников, и, вероятно, стоят миллионы долларов на подпольных криминальных форумах.

Например, одна из обнаруженных исследователями CyberNews баз содержала учетные данные для доступа к сторонним серверам. Детали хранились в незашифрованном текстовом формате, видимом для всех, кто просматривал открытый экземпляр. По словам Мантаса Саснаускаса, руководителя отдела исследований в области безопасности Cybernews, такая информация позволит злоумышленникам закрепиться в системах, используемых компаниями, сотрудничающими с Thomson Reuters.

Временные метки на образцах, которые получили исследователи, показывают, что данные актуальны и были зарегистрированы в последнее время, некоторые из которых датированы 26 октября текущего года.

Помимо учетных данных, утечка включает документы с корпоративной и юридической информацией о конкретных предприятиях и физических лицах.

«Информация, хранящаяся на сервере, чрезвычайно чувствительна. Подобные случаи вызывают вопросы о корпоративной практике сбора данных. Последствия утечки данных такого масштаба вызывают, мягко говоря, беспокойство», — пояснил Саснаускас.

Thomson Reuters постаралась преуменьшить значение проблемы, заявив, что из трех неправильно настроенных серверов, о которых команда Cybernews  сообщила компании, два изначально были спроектированы так, чтобы быть общедоступными. Третий же сервер  якобы был нерабочим, предназначенным для «журналов приложений из среды подготовки/внедрения». Однако, надо отдать должное, компания немедленно устранила проблему и начала уведомлять своих клиентов.

По словам исследователей, наиболее вероятной причиной внезапного появления набора данных в сети является ошибка неправильной конфигурации.

«Мы считаем, что это происшествие было вызвано неправильной настройкой сервиса AWS Elastic Load Balancing, для которого не полностью были настроены правила контроля доступа, что привело к тому, что сервис стал общедоступным», — пояснили в CyberNews.

Набор данных был открыт несколько дней — в то время, как вредоносные боты способны обнаруживать экземпляры в течение нескольких часов.

Злоумышленники могут использовать утечку для самых разнообразных атак, включая атаки на цепочку поставок, приемы социальной инженерии и засылку программ-вымогателей.

«Несмотря на то, что компания зашифровала связь с сервером в формате SSL, все меры безопасности не сработают из-за простой человеческой ошибки. Всегда должны быть меры по снижению этих рисков, чтобы данные не попали в руки злоумышленников. Мы видим здесь, что методы обеспечения безопасности были не такими, как вы ожидаете от такого крупного бизнеса, как Thomson Reuters», — сказал Саснаускас.

Для того, чтобы минимизировать риски от подобных происшествий, эксперты советуют хранить пароли и учетные данные в зашифрованном виде, избегая баз в текстовом формате. Кроме того, настоятельно рекомендуется хранить информацию, позволяющую установить личность (personally identifiable information, PII), например, корпоративную электронную почту, отдельно от всей прочей информации.

С заботой о вашей безопасности, команда Origin Security

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *