据Cybernews 10月27日报道,跨国传媒集团汤森路透公司至少有三个数据库处于开放状态,访客无需验证即可访问,里面包含敏感客户和企业数据以及明文格式储存的第三方服务器密码。攻击者可以利用这些细节进行供应链攻击。
Cybernews研究小组发现,汤森路透至少保留了三个任何人都可访问的数据库。其中一个是面向公众的ElasticSearch数据库,3TB大小,包含该公司各个平台的最新和最敏感信息。汤森路透已经发现该问题,目前已修复。
汤森路透为客户提供的产品和平台包括企业对企业媒体工具Reuters Connect、法律研究服务和数据库Westlaw、税务自动化系统ONESOURCE、编辑和源材料在线研究套件Checkpoint以及其他工具。
ElasticSearch数据库对威胁行为者来说是一个宝库,可以利用泄露的信息进行社会工程学攻击和勒索攻击,在地下犯罪论坛上可能价值数百万美元。
据了解,该数据库开放了好几天,恶意机器人能够在短短几小时内侦测到。汤森路透快速解决了该问题,并表示它只影响“汤森路透全球一小部分客户”。
汤森路透服务器内ElasticSearch索引的命名表明,这个开放的数据库被用作日志服务器,以收集用户-客户互动的大量数据。开放数据库还包含登录和密码重置日志。虽然这些日志不会暴露旧密码或新密码,但可以看到帐户持有人的电子邮件地址,以及发送密码更改查询的确切时间。
另一个敏感信息包括SQL(结构化查询语言)日志,它记录了用户查询信息和返还的信息。开放的数据库还包括对YouTube等其他平台的内部筛选、汤森路透客户的访问日志以及与其他数据库的连接字符串。
汤森路透声称,三个配置错误的数据库中,有两个被设置为可公开访问。第三台服务器是一个非生产性服务器,用于存储“生产前/实施环境的应用日志”。
ElasticSearch是一种非常常见和广泛使用的数据存储,容易出现配置错误,这使得任何人都可以访问它。这种情况下,敏感数据是开放的,并且已经被流行的物联网搜索引擎索引。Cybernews安全研究主管Mantas Sasnauskas表示,这为恶意行为者提供了一个巨大的攻击面,不仅可以利用内部系统,还可以进行供应链攻击。一个简单的人为错误就可能导致毁灭性的攻击。
参考链接:
https://cybernews.com/security/thomson-reuters-leaked-terabytes-sensitive-data/