工作人员的配置错误对组织来说可能是一个巨大的尴尬,甚至击败了最大的IT安全预算。这些错误往往导致敏感信息的数据库在互联网上被打开,以供幸运的黑客绊倒。
最新一个公开确认的受害者是微软。负责审查消费者IT安全产品的英国网站Comparitech的研究人员今天上午说,他们最近发现,这家软件巨头的5台Elasticsearch服务器拥有近2.5亿个客户服务的相同副本,并且在没有密码或访问所需的其他认证的情况下暴露了支持。
这些记录记录了微软支持代理人和来自世界各地的客户之间的对话记录,从2005年到去年12月为期14年。所有的数据都可以通过网络浏览器访问,不需要密码或其他身份验证。
微软在接到通知后迅速保护了数据。
独立研究员鲍勃·迪亚琴科(Bob Diachenko)援引他的话说,大部分个人识别的信息,如电子邮件别名、合同号和付款信息,都是在数据中编辑的。
然而,许多记录包含纯文本数据,包括客户电子邮件地址、IP地址、位置、索赔和案例描述、微软支持代理电子邮件、案例编号、决议和备注以及标记为“机密”的内部注释。
人们可以推测,微软员工想要寻找客户支持数据的趋势,用个人可以识别的信息编辑数据库,不需要密码保护。
然而,comparitech认为,对于黑客来说,可读数据仍然是有价值的,特别是对于那些参与微软技术支持骗局的人来说,这是可信的。例如,知道客户的电子邮件地址将允许骗子制作一封电子邮件,开始“跟进你最近的支持事件”。
迪亚琴科是几位研究人员之一,他们使用Shodan搜索引擎来寻找和曝光那些没有保护数据库的公司,这些公司经常坐在亚马逊AWS的基础设施上。他在2018年找到了数据管理公司Veeam Software的MongoDB服务器。就在一年多前,他和一个团队发现了一个属于德克萨斯州一家数据处理公司的开放数据库。
其他研究人员也发现了容易采摘的东西。在2018年,一位加拿大和英国政府工作人员发现他们的一些基于网络的Trello项目管理软件配置错误,并暴露了软件错误和安全计划的细节,以及服务器和其他敏感信息的密码。
许多这些发现——如微软的案例——都是Elasticsearch搜索的数据存储库。例如,去年夏天,加拿大安全顾问达里尔·伯克发现了两个开放的Elasticsearch数据库,其中一个数据库保存了寻求移民加拿大的中东居民的敏感个人信息。
Elasticsearch是一个开源分析搜索引擎组织用来搜索他们的数据。伯克当时在接受采访时说,许多公司没有意识到的是,它保留了它索引的数据缓存。如果Elasticsearch服务器对Internet开放,但没有用户名和密码的安全-最好是双因素身份验证-那么攻击者就可以发现这些数据。