90 millones de registros filtrados por el Departamento de Seguridad Publica de China
Un servidor de ElasticSearch de acceso público y no seguro, propiedad del Departamento de Seguridad Pública Provincial de Jiangsu de la provincia china de Jiangsu, filtró dos bases de datos que contenían más de 90 millones de personas y registros comerciales.
El troyano y ladrón de información Astaroth es una variedad de malware capaz de robar información sensible, como las credenciales de usuario de sus víctimas, mediante el uso de un módulo de registrador de claves, la intercepción de llamadas del sistema operativo y la supervisión del portapapeles.
Astaroth también es conocido por abusar de los binarios que viven en la tierra (LOLbins), como la interfaz de línea de comandos de la línea de comandos de Instrumental de administración de Windows ( WMIC ) para descargar e instalar sigilosamente las cargas de malware en segundo plano.
Jiangsu (江苏 省) es una provincia china costera centro-oriental con una población de más de 80 millones de habitantes y una población urbana de más de 55 millones que representa el 68,76% de su población total, según un censo de población de 2018 del National Bureau of Statistics, lo que la convierte en la quinta provincia más poblada de China.
Los departamentos de seguridad pública provinciales son "una organización funcional bajo el doble liderazgo del gobierno provincial y el Ministerio de Seguridad Pública a cargo del trabajo de seguridad pública de toda la provincia".
Las dos bases de datos ahora seguras contenían más de 26 GB de datos en forma de nombres de información de identificación personal (PII), fechas de nacimiento, géneros, números de tarjetas de identidad, coordenadas de ubicación, así como información sobre city_relations, city_open_id y province_open_id para individuos.
En el caso de las empresas, los registros incluyeron ID de empresas, tipos de empresas, coordenadas de ubicación, city_open_id y notas diseñadas para rastrear si el propietario de la empresa es conocido.
Además de las dos bases de datos de ElasticSearch expuestas, el Departamento de Seguridad Pública Provincial de Jiangsu también tenía una consola de administración de la Red de Seguridad Pública que requería una combinación de usuario / contraseña válida para el acceso, así como una instalación de Kibana de acceso público que se ejecutaba en el servidor y que ayudaba a navegar analizar los datos almacenados utilizando una interfaz basada en GUI.
Sin embargo, a diferencia de otros casos de instalaciones de Kibana expuestas, esta no se configuró completamente al ver que, una vez cargado en un navegador web, iría directamente a la página "Crear patrón de índice".
Sanyam Jain , miembro de la Fundación GDI e investigador de seguridad independiente, encontró el grupo de ElasticSearch mal configurado que permitía a cualquiera acceder a él con todos los derechos de administrador y contactó a BleepingComputer para asegurar la base de datos.
El investigador le dijo a BleepingComputer que la base de datos contenía los siguientes datos:
- 58,364,777 registros de ciudadanos
- 33,708,010 registros de negocios
Si bien Jain no recibio ninguna respuesta después de ponerse en contacto con el Departamento de Seguridad Pública Provincial de Jiangsu, CNCERT / CC fue tan rápido como siempre que nunca, contactando con el propietario de la base de datos y eliminándolo el fin de semana.
Jain encontró previamente un clúster de ElasticSearch accesible al público y propiedad de FMC Consulting, empresa china de caza de cabezas, que exponía los currículos de millones de clientes, registros de la compañía, así como datos de PII de empleados y clientes.
También descubrió cómo se eliminaron más de 12,000 bases de datos de MongoDB no aseguradas durante un período de tres semanas, y los atacantes solo dejaron un mensaje y pidieron a los propietarios de las bases de datos que se pusieran en contacto para restaurar sus datos.
Además, desde el inicio de 2019, los clusters de ElasticSearch disponibles al público han filtrado aproximadamente 33 millones de perfiles de solicitantes de empleo chinos, más de 108 millones de apuestas de varios casinos en línea que exponen los datos de PII de sus apostadores y cientos de miles de documentos legales confidenciales "no designados para publicación."
Otros 114 millones de registros de empresas y ciudadanos de EE. UU. Y más de 32 millones de registros de clientes de SKY Brasil fueron expuestos por las bases de datos de ElasticSearch mal configuradas durante noviembre de 2018.
En un esfuerzo por minimizar el número de instancias con pérdidas, el equipo de desarrollo de ElasticSearch explicó en diciembre de 2013 que los clústeres de Elastisearch nunca deberían estar accesibles a través de Internet, ya que solo los usuarios locales deberían tener permiso para usarlos.
¿Te es util este articulo?. ¿Tienes una opinion relacionada con este articulo?. ¿Te has entretenido con nosotros?.
Si la respuesta es afirmativa, dejanos un comentario :) y como no Gracias por vernos