Detalles de 57 millones de estadounidenses filtrados en línea por otro servidor mal configurado.

Los servidores de Elasticsearch mal configurados son el regalo no deseado que sigue dando. Según los informes de esta semana, la última violación reveló detalles personales sobre 57 millones de estadounidenses.

Bob Diachenko, director de investigación de riesgos cibernéticos de la firma de seguridad Hacken, dijo que la compañía encontró un servidor Elasticsearch expuesto en el motor de búsqueda Shodan, que busca dispositivos conectados y servidores abiertos. Encontró al menos tres direcciones IP con clústeres idénticos de Elasticsearch mal configurados para el acceso público.

Estos casos, que contenían 73 GB de datos, habían sido accesibles al público el 14 de noviembre, que es cuando Shodan los indexó. Sin embargo, no está claro cuánto tiempo había estado en línea antes de ese momento, dijo Diachenko. Hacken descubrió los casos el 20 de noviembre y los sitios desaparecieron un par de días después.

El servicio contenía datos de casi 57 millones de ciudadanos de EE. UU., Que contenían información que incluía el nombre y apellido, empleadores, título laboral, correo electrónico, dirección, estado, código postal, número de teléfono y dirección IP. Otro índice de la misma base de datos incluía más de 25 millones de registros comerciales, que contenían detalles sobre compañías, incluidos el recuento de empleados, los números de ingresos y las rutas de los transportistas.

Hacken no pudo identificar de inmediato la fuente de la fuga, pero Diachenko observó que uno de los campos de la base de datos era similar a los utilizados por una empresa de datos de marketing. No pudo contactar a sus ejecutivos para que comentaran, y la compañía desconectó su sitio web poco antes de que escribiera un blog sobre el incidente. Sin embargo, esto no significa necesariamente que la empresa fuera la fuente de la fuga. Lo que da miedo es que este volumen de registros se puede filtrar en línea sin que nadie sepa con certeza quién es el responsable.

Elasticsearch es un producto de motor de búsqueda de texto completo lanzado sobre una base de código abierto. Busca en una variedad de tipos de documentos casi en tiempo real gracias a sus capacidades de búsqueda distribuida. Las empresas pueden descargar y usar el software en sus propios servidores o ejecutarlo en computadoras basadas en la nube. Sin embargo, el producto se envía con una configuración de inicio de sesión predeterminada. Esto hace que sea fácil para cualquier persona acceder a una instancia de Elasticsearch pública, a menos que se hayan cambiado sus credenciales.

Lo mismo sucedió recientemente con la aplicación de masaje Urban , que reveló los detalles de 309,000 clientes gracias a una configuración de Elasticsearch con fugas este mes.

Esta violación y el evento urbano están lejos de ser los únicos incidentes de seguridad debidos a instancias de Elasticsearch mal configuradas. Hacken dijo a principios de este mes que la Federación de Industrias del Estado de São Paulo en Brasil hizo públicos 34 millones de registros personales en una base de datos de Elasticsearch, aunque la organización negó la reclamación.

Diachenko trabajó anteriormente en Kromtech, que escanea regularmente a Shodan en busca de casos expuestos de Elasticsearch, MongoDB y otros. En octubre de 2017, Kromtech encontró la información privada de más de 1,100 jugadores de la NFL y sus agentes expuestos en un servidor de Elasticsearch mal configurado. Una nota de rescate fue dejada dentro de esa base de datos.

En junio, otro investigador descubrió que la firma de agregación de datos Exactis había expuesto alrededor de 340 millones de registros individuales a través de un servidor de Elasticsearch mal configurado, lo que representa casi 2 TB de datos.

Los registros personales expuestos públicamente en servidores no protegidos están sesgando las estadísticas de violación de datos al aumentar dramáticamente el número de registros expuestos por violación. Los servidores mal configurados de cara al público son un tesoro para los ladrones de datos, que solo necesitan un navegador para encontrarlos.