Selon des chercheurs du site Cybernews,Thomson Reuters a laissé accessible une base de données ElasticSearch qui contient 3 To d'informations récentes (parfois horodatées du 26 octobre dernier) venant de plusieurs plateformes de l'entreprise. Contacté par Cybernews, Thomson Reuters a reconnu le problème et l'a immédiatement résolu.
Mais les données concernées contiennent des informations sensibles selon Cybernews, dont des mots de passe de serveurs tiers non chiffrés. Les chercheurs ont aussi trouvé des logs de changement d'identifiants et mots de passe permettant de connaître l’adresse email du gestionnaire du serveur, des logs de requêtes SQL permettant de connaître ce que les clients de Reuters cherchent ainsi que les réponses données ou encore des documents avec des informations commerciales ou juridiques sur des entreprises et des personnes précises. Les chercheurs de Cybernews estiment que ces données pourraient coûter plusieurs millions de dollars sur des forums criminels.
La cause de la soudaine possibilité d’accès public est sûrement due à une mauvaise configuration du service de Load Balancing d’AWS par Reuters à partir du 21 octobre, toujours selon les chercheurs. C’est à partir de cette date que certains moteurs de recherche IoT ont commencé à indexer des informations du serveur.
Commentaires (3)
#1
Elasticsearch a vraiment flingué sa réputation en limitant sa sécurité à un simple distinguo “loopback” vs “non-loopback”, au lieu du traditionnel fichier de binding des bases SQL.
C’était évident qu’un node Elasticsearch tournerait sur un serveur dédié (réel, virtuel ou conteneur), et donc serait toujours configuré en “non-loopback” = public.
Quelle misère.
#1.1
yep, quel dommage que le sysadmin de reuters ne sache pas configurer iptables correctement…
#2
Pareil, erreur humaines comme d’habitude.