Foto: Getty
Voor minstens de derde keer in evenveel dagen, een grote cache van gevoelige gegevens is naar verluidt blootgesteld door een verkeerd geconfigureerde Elasticsearch server. In dit geval, een maar liefst 24 miljoen financiële en bancaire records zijn betrokken.
Op woensdag, onafhankelijke security-onderzoeker Bob Diachenko openbaar gemaakt dat meer dan een decennium van krediet-en hypotheek-records, veel gekoppeld aan een aantal van de grootste banken en kredietverstrekkers, was tijdelijk blootgesteld online. Veel van de records bevatten geen persoonlijke gegevens, zei hij, zoals sofi-nummers en adressen.
Hij beschreef de cache als een “goudmijn” voor cybercriminelen op zoek naar een bestand valse belastingaangiften of leningen of creditcards met behulp van gestolen identiteiten.
Diachenko geschat dat 51 GB aan gegevens had achtergelaten in het openbaar bloot door een onbeschermde Elasticsearc server. Elasticsearch, die niet zelf verantwoordelijk voor de lek is een populaire enterprise search applicatie wordt gebruikt door bedrijven te helpen bij het visualiseren van de interne gegevens.
Diachenko schreef ook dat hij zou samen met TechCrunch reporter Zack Whittaker om te ontdekken de cache van de oorsprong. Het was uiteindelijk terug te voeren op een Fort Worth-gebaseerd bedrijf dat bekend staat als Hemelvaart Data & Analytics.
Een advocaat van het bedrijf, die wordt uitgevoerd door Texas investment manager Rocktop Partners, vertelde TechCrunch dat de server shutdown na Diachenko op de hoogte bracht van het probleem en dat het kennis heeft gesteld van de wetshandhaving en “technology partners.”
Als voor de hypotheek betrokken instellingen, TechCrunch gemeld:
Uit onze review, het was duidelijk dat de documenten die betrekking hebben op leningen en hypotheken en andere correspondentie van enkele van de belangrijkste financiële en kredietinstellingen daterend zover terug als in 2008, zo niet langer, met inbegrip van CitiFinancial, een inmiddels ter ziele gegane uitlenen van financiële tak van Citigroup, bestanden van HSBC levensverzekeringen, Wells Fargo, CapitalOne en sommige AMERIKAANSE federale departementen, waaronder het Departement van Huisvesting en Stedelijke Ontwikkeling.
Diachenko benadrukt dat, terwijl 24 miljoen records zijn betrokken, in sommige gevallen, hetzelfde document kunnen produceren meerdere records. Bovendien, het is nog onduidelijk hoeveel mensen zijn getroffen door het lek.
Eerder deze week, ZDNet gemeld dat een Elasticsearch server had gelaten blootgesteld online zonder een wachtwoord, het onthullen van informatie over meer dan 108 miljoen weddenschappen beheerd door een online casino groep. Diachenko ook gemeld andere Elasticsearch-betrokken overtreding op AIESEC, die zichzelf beschrijft als “‘ s werelds grootste jeugd-uitvoeren van organisatie.”
[TechCrunch]
Deel Dit Verhaal