Wrażliwe dane rządu i wojska USA zostały ujawnione online

Znaczna ilość wrażliwych danych o pracownikach rządu USA może być teraz w domenie publicznej po ich ujawnieniu w wyniku wycieku danych. Izraelscy badacze bezpieczeństwa Noam Rotem i Ran Locar odkryli 179 GB danych na niezabezpieczonym serwerze AWS, prowadzonym - jak sądzą - przez firmę świadczącą usługi turystyczne.

Uważa się, że wykradziona baza danych należy do AutoClerk, systemu zarządzania rezerwacjami, niedawno zakupionego przez Best Western Hotels and Resorts Group. Ujawniła poufne dane osobowe tysięcy osób, w tym ich rezerwacji hotelowych i turystycznych. Dane ujawnione przez niezabezpieczony segment sieci, do których każdy może uzyskać dostęp bez użycia hasła, obejmują:

  • Pełne imię i nazwisko
  • Data urodzenia
  • Adres domowy
  • Numer telefonu
  • Terminy i koszty podróży
  • Częściowe dane karty kredytowej

W niektórych przypadkach dane obejmowały nawet dzienniki generałów armii amerykańskiej, podróżujących do takich miejsc, jak Moskwa i Tel Awiw, a także numery pokoi hotelowych i godziny zameldowania. Naukowcy zauważają również, że byli w stanie przejrzeć „wiele niezaszyfrowanych danych logowania, aby uzyskać dostęp do kont w dodatkowych systemach zewnętrznych względem bazy danych”, co stwarza możliwość, że inne systemy rezerwacji hoteli i zakwaterowania mogą być zagrożone przez hakerów. W swoim blogu informującym o odkryciu naukowców, VPNMentor opisał to zdarzenie jako „masowe naruszenie bezpieczeństwa dla rządowych agencji i departamentów”.

Naukowcy wyjaśnili, w jaki sposób mógł uzyskać dostęp do wrażliwych danych: "każdy, kto jest właścicielem danej bazy danych, korzysta z bazy danych Elasticsearch, która zwykle nie jest przeznaczona do używania adresów URL. Udało nam się jednak uzyskać do niego dostęp za pośrednictwem przeglądarki i w dowolnym momencie manipulować kryteriami wyszukiwania adresów URL w celu wyświetlenia schematów z jednego indeksu."

Niepewni, do kogo należała baza danych - chociaż podejrzewając, że była to AutoClerk - badacze najpierw skontaktowali się z zespołem gotowości (CERT). Ostatecznie dopiero po skontaktowaniu się z ambasadą USA w Tel Awiwie i Departamentem Obrony w Pentagonie zamknięto niezabezpieczoną bazę danych - tygodnie po jej pierwszym odkryciu. Szczególnie frustrujące jest to, że wyciekowi danych można było tak łatwo zapobiec. Serii publicznych naruszeń danych z niezabezpieczonych serwerów internetowych można by uniknąć, gdyby właściciele baz danych odpowiednio skonfigurowali swoje zabezpieczenia.

Źródło: Bitdefender