La información personal de más de 1,6 millones de donantes potenciales y existentes de la Universidad de Chicago Medicine fue expuesta por un servidor de ElasticSearch mal configurado y sin protección que se dejó abierto en Internet sin una contraseña.
La instancia de ElasticSearch, de acceso público, fue descubierta por el investigador de Security Discovery Bob Diachenko el 28 de mayo, un día después de que el motor de búsqueda de dispositivos conectados a Internet Shodan lo agregara a su índice de servidores expuestos.
Después de observar detenidamente los datos expuestos, Diachenko se enteró de que el enorme clúster ElasticSearch de tamaño de 34 GB llamado 'data-ucmbsd2' contenía 1,679,993 registros a los que podía acceder cualquier persona que supiera dónde y cómo buscarlo.
La investigación adicional de los registros de donantes expuestos permitió al investigador encontrar que cada uno de ellos contenía datos de información de identificación personal (PII), tales como:
- Nombre completo
- Fecha de nacimiento
- Dirección completa
- Número (s) de teléfono
- Correos electrónicos
- Género
- Estado civil
- Información de riqueza y estado actual
- Notas de comunicación
Si bien Diachenko no sabía quién era el propietario de la base de datos desprotegida, en un principio, un examen adicional de las pistas contenidas en la base de datos lo llevó a la Universidad de Medicina de Chicago como presunto propietario de los datos filtrados de PII.
Después de notificar a la universidad, el servidor de ElasticSearch expuesto se retiró en 48 horas y UChicago Medicine también le envió la siguiente declaración:
Gracias por informarnos sobre esto de una manera que nos permitió proteger la base de datos afectada, evitar el uso o divulgación no autorizados y proteger nuestros sistemas e información. A medida que obtengamos más información de nuestra investigación en curso, cumpliremos con nuestras responsabilidades conforme a todas las leyes y regulaciones aplicables.
Una vez que se aseguró la base de datos, la organización le pidió a Diachenko que eliminara las capturas de pantalla que tomó de los datos expuestos y las muestras de datos "obtenidos para identificar al propietario".
UChicago Medicine también publicó una declaración oficial sobre el incidente diciendo que:
Estamos realizando una investigación forense exhaustiva y hemos determinado que ninguna parte no autorizada, más allá de este investigador de seguridad, accedió a la información en la base de datos. El investigador confirmó que nunca descargó la base de datos completa y solo accedió a un número limitado de registros. La base de datos incluía información personal limitada, y no hubo exposición de números de seguridad social, tarjeta de crédito o información bancaria. Para algunos registros en la base de datos, también se incluyeron los nombres y las áreas clínicas de los médicos que trataron a los pacientes, pero la base de datos no contenía información detallada del registro médico de los pacientes.
Asegurar los clusters de ElasticSearch
Los clústeres de ElasticSearch mal configurados siguen apareciendo a pesar de que las funciones de seguridad principales de Elastic Stack ahora son gratuitas, según un anuncio hecho por Elastic NV el 20 de mayo.
De acuerdo con los desarrolladores de ElasticSearch, "esto significa que los usuarios ahora pueden cifrar el tráfico de red, crear y administrar usuarios, definir roles que protegen el índice y el acceso a nivel de clúster, y proteger Kibana con espacios".
Por otra parte, ya que los desarrolladores de Elasticsearch explican en diciembre de 2013, racimos elasticsearch debe ser accesible sólo en la red local para asegurarse de que sólo la empresa propietaria de las bases de datos se puede acceder a los datos almacenados.
Elastic NV también recomienda a los administradores asegurar la pila de ElasticSearch mediante "cifrado de comunicaciones, control de acceso basado en roles, filtrado de IP y auditoría", para establecer contraseñas para los usuarios integrados de sus servidores, así como para configurar correctamente el clúster de ElasticSearch. Para desplegarlo en producción.
Fecha actualización el 2021-06-05. Fecha publicación el 2019-06-05. Categoría: hackers Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer Version movil