„Cybernews“ tyrimų grupė nustatė, kad „Reuters“ paliko atviras bent tris savo duomenų bazes, į kurias galėjo pažiūrėti bet kas. Vienoje iš jų – 3 TB talpos viešai prieinamoje „ElasticSearch“ duomenų bazėje – saugoma slapta, naujausia informacija iš visų bendrovės platformų. Įmonė pripažino problemą ir nedelsdama ją ištaisė.
„Thomson Reuters“ klientams teikia tokius produktus, kaip verslo įmonėms skirta žiniasklaidos priemonė „Reuters Connect“, teisinių tyrimų paslauga ir duomenų bazė „Westlaw“, mokesčių automatizavimo sistema ONESOURCE, internetinių tyrimų redakcinės ir šaltinių medžiagos rinkinys „Checkpoint“ ir kt.
Komandos aptiktos atviros duomenų bazės dydis atitinka įmonės naudojamą „ElasticSearch“ – duomenų saugyklą, kurią renkasi įmonės, dirbančios su dideliais, nuolat atnaujinamais duomenų kiekiais.
„ElasticSearch“ buvo naudojamas kaip registravimo serveris, kuriame buvo saugomi didžiuliai duomenų, surinktų per naudotojų ir klientų sąveiką, kiekiai. Kitaip tariant, bendrovė surinko ir atskleidė tūkstančius gigabaitų duomenų, kurie, „Cybernews“ tyrėjų nuomone, pogrindiniuose nusikaltėlių forumuose būtų verti milijonų dolerių dėl galimos prieigos prie kitų sistemų.
Tuo tarpu „Thomson Reuters“ teigia, kad iš trijų netinkamai sukonfigūruotų serverių, apie kuriuos komanda informavo bendrovę, du buvo skirti viešai prieigai. Trečiasis serveris buvo neprodukcinis serveris, skirtas „taikomųjų programų žurnalams iš priešprodukcinės/diegimo aplinkos“.
Nutekinti duomenys
Komandos peržiūrėtų duomenų pavyzdžių laiko žymos rodo, kad informacija buvo užregistruota neseniai, o kai kurie duomenys – dar spalio 26 d. Pasak tyrėjų, atviroje duomenų bazėje esančiuose žurnaluose yra konfidencialios informacijos.
Pavyzdžiui, atvirame duomenų rinkinyje buvo saugomi prieigos prie trečiųjų šalių serverių duomenys. Duomenys buvo laikomi paprasto teksto formatu, matomi bet kam. Pasak „Cybernews“ saugumo tyrimų skyriaus vadovo Manto Sasnausko, tokia informacija leistų piktavaliams iš pradžių įsitvirtinti su „Thomson Reuters“ bendradarbiaujančių įmonių naudojamose sistemose, rašo „CyberNews“.
„ElasticSearch yra labai paplitusi ir plačiai naudojama duomenų saugykla, kuri yra linkusi į neteisingą konfigūravimą, todėl ja gali naudotis bet kas. Šiuo atveju neskelbtini duomenys liko atviri ir jau buvo indeksuojami per populiarias IoT [daiktų interneto] paieškos sistemas. Paprasta žmogaus klaida gali sukelti pražūtingas atakas – nuo duomenų eksfiltracijos iki išpirkos reikalaujančios programinės įrangos“, – sakė M.Sasnauskas.
Komanda taip pat nustatė, kad atvirame egzemplioriuje yra prisijungimo ir slaptažodžio keitimo įrašų. Nors juose neatskleidžiami nei senieji, nei naujieji slaptažodžiai, nurodomas paskyros turėtojo el.pašto adresas, taip pat galima matyti tikslų slaptažodžio keitimo užklausos išsiuntimo laiką.
Kita neskelbtina informacija apima SQL (struktūrizuotos užklausų kalbos) istorija, iš kurių matyti, kokios informacijos ieškojo „Thomson Reuters“ klientai. Įrašuose taip pat nurodoma, kokią informaciją užklausa grąžino.
Tai apima dokumentus su įmonių ir teisine informacija apie konkrečias įmones ar asmenis. Pavyzdžiui, JAV įsikūrusios įmonės darbuotojas ieškojo informacijos apie Rusijoje veikiančią organizaciją, kuri naudojasi „Thomson Reuters“ paslaugomis, ir tik tada sužinojo, kad jos valdybos nariams taikomos JAV sankcijos dėl jų vaidmens įsiveržiant į Ukrainą.
Didelė tikimybė, kad atvirame egzemplioriuje buvo daug daugiau jautrių duomenų, nes duomenų bazėje saugoma daugiau kaip 6,9 mln. unikalių žurnalų, kurie užima daugiau kaip 3 TB serverio disko. Komanda teigia, kad neįmanoma sužinoti viso duomenų rinkinio dydžio, neperžengiant etinių ribų, kurių laikosi tyrėjai.
Aptikusi nutekėjusią duomenų bazę, komanda susisiekė su „Thomson Reuters“, ir bendrovė nedelsdama pašalino atvirą egzempliorių. Kompanija taip pat teigė pradėjusi informuoti nukenėjusius klientus.
Pasak „Cybernews“ informacijos saugumo tyrėjo Martyno Vareikio, duomenų rinkinyje atskleistus el. pašto adresus grėsmių sukėlėjai galėjo panaudoti sukčiavimo atakoms vykdyti. Užpuolikai galėtų apsimesti „Thomson Reuters“ ir siųsti bendrovės klientams suklastotas sąskaitas faktūras.
Istorija kartojasi?
Praėjusiais metais paskelbtame dokumente išdėstyti „Thomson Reuters“ saugumo principai teigia, kad saugi bendrovės konfigūracija kuriama ir diegiama pagal geriausią praktiką.
Tačiau tyrėjai, kasinėdami istorinius duomenis iš daiktų interneto paieškos sistemų, aptiko, kad kai kurie „Thomson Reuters“ konfigūracijos ir sistemos aplinkos failai buvo atskleisti praėjusiais metais. Kai kurie daiktų interneto paieškos sistemose rodomi failai yra neapsaugoti iki šiol.
Bendrovės saugumo principuose taip pat teigiama, kad ji atlieka automatizuotą ir centralizuotą registravimą, kad būtų galima įspėti realiuoju laiku. Tačiau atviras duomenų rinkinys kelias dienas buvo prieinamas visuomenei.
„Užtenka mažiau nei kelių valandų, kad atviras serveris būtų apkrautas botais. Tuo tarpu iš duomenų matyti, kad instancija buvo atvira daugiau nei tris dienas iš eilės. Kyla klausimas, ar reikia perspėjimų realiuoju laiku, jei nėra kam peržiūrėti perspėjimų“, – sakė M.Vareikis.