Secure Things与安全专家耶利米·福勒合作,揭露了一家云应用托管公司泄露的6000多万条客户记录。以下是他的调查结果:
10月5日,我发现了一个没有密码保护的数据库,其中包含大量监控和系统日志。有指示数据备份、监视、错误记录等的记录。经过进一步研究,该数据库似乎属于德克萨斯州的云应用托管提供商Cloud Clusters Inc.。根据他们的网站,他们有4个数据中心,包括:俄勒冈州本德、夏洛特、北卡罗来纳州、科罗拉多州丹佛和德克萨斯州达拉斯。
我立即就我的发现发出了一份负责任的披露通知。在我发出通知后不久,公众通道就受到了限制。没有人回复我的第一条消息,在10月13日的第二封后续电子邮件之后,我收到了一封确认我的通知的信,上面写着:“谢谢你指出了加强网站安全性的问题。”我们也非常重视数据安全。“。目前尚不清楚Cloud Clusters Inc.是否已就此次曝光通知了客户或当局。
我看到了Magento、WordPress账户和MySQL的用户/密码凭证。Magento是一个用于销售产品或服务的电子商务平台,而WordPress是一个用PHP编写的网站管理系统。登录详细信息的泄露可能会使这些账户和购物者面临风险。Cloud Clusters Inc.的客户可能已经成为社交工程或鱼叉式钓鱼企图的目标,他们使用泄露的电子邮件和凭据。
目前还不清楚这些记录被曝光的时间有多长,也不清楚还有哪些人可能接触到了这些数据。作为一名安全研究员,我从不绕过或绕过受密码保护的资产。这些记录是公众可访问的,不需要黑客来查看6370万条记录。如果网络罪犯有权获取这些信息,可能会危及这些网站和电子商务账户的安全。我并不是说,这些网站的客户或访问者面临的风险只是提高了人们对任何有互联网连接的人所接触到的内容的认识。在任何安全漏洞之后,应立即更改所有管理凭据,包括监控日志中捕获的客户密码或详细信息。
数据库中有连接多个公司名称的记录,这些公司名称都在Cloud Clusters保护伞下提供类似的数据托管和管理服务。由于记录数量庞大,很难说他们运营了多少项服务,但我看到的名字包括像MgtClusters、Hyper-v-Mart和CloudClusters的几个变种。
根据他们的网站:“Cloud Clusters Inc.是由德克萨斯州一家私人持股公司Database Mart LLC(DBM)的同一个团队于2017年创立的。DBM从2005年开始为全球客户提供VPS和专用服务器托管业务,提供优质的客户服务。Cloud Clusters Inc.在Kubernetes Cloud上提供完全托管的开源应用服务。
该数据库被设置为在任何浏览器(可公开访问)中打开并可见,任何人都可以在没有管理凭证的情况下编辑、下载甚至删除数据。
包含监控等内部信息的暴露记录,以及以纯文本形式暴露用户名、用户电子邮件地址和多个服务密码的日志。即:Magento、WordPress、MySQL。
网络罪犯可以利用的IP地址、端口、路径和存储信息来更深入地访问网络。
日志监控不足是一个主要问题,可能会暴露敏感的内部数据,并且经常被忽视。大多数公司都把重点放在核心资产的数据保护上,而他们往往忘记了监控和记录数据是一个随时会发生的事件。日志可以公开各种数据,例如登录、失败登录和其他关键事务。这是许多公司面临的一个大问题,在大多数情况下,他们甚至可能意识到自己的监控或错误日志系统正在暴露数据,直到为时已晚。
几乎所有系统都会生成某种类型的日志记录,这是确保一切正常运行并记录事件的基础设施的重要组成部分。至关重要的是,安全或数据保护策略应包括监控和审查来自这些日志的消息的计划。这样,如果日志暴露了敏感数据,则可以采取措施将日志视为高风险资产。
数据泄露或安全事件对任何公司或组织来说都是噩梦,但如果你是一家提供数据托管服务的公司,情况就更糟了。当涉及到数据保护时,客户和客户只能采取这么多预防措施,最终必须对他们的数据存储提供商有信心。网络罪犯在针对身份盗窃、恶意软件或网络钓鱼活动的受害者方面正变得越来越有创意。公司必须采取更多措施保护用户免受网络威胁,并使用一切必要的工具来提供最好的在线隐私。这包括保护可能暴露敏感数据的日志记录和监控记录。