Francúzky denník Le Figaro prišiel o osobné údaje a otvoril hekerom brány dokorán

Zdroj: SafetyDetectives

Bezpečnostní výskumníci z tímu Security Detectives, vedení Anuragom Senom, objavili nezabezpečenú databázu na Elasticsearch servery.

Databáza bola hostovaná na servery vlastnenom spoločnosťou Poney Telecom vo Francúzku a obsahovala veľa zaujímavých informácií. Táto spoločnosť podľa výskumníkov nemá veľmi dobrú reputáciu čo sa týka bezpečnosti. Je známa neetickými praktikami. Poskytuje napr. hostovanie rôznym podozrivým entitám, ktoré skúšajú útočiť na iné hostované servery priamo v štruktúre Poney Telecom.

Objem uniknutých informácií je ohromujúci: 8 TB dát, zhruba 7,4 miliardy záznamov a medzi údajmi boli:

• E-maily
• Plné mená používateľov
• Domáce adresy vrátane ZIP kódu a krajiny
• Heslá nových používateľov v cleartexte pripadne s hash MD5
• IP adresy z ktorých pristupujú
• Informácie o komunikácii s internými serverami (CRM)

„Obeťou“ je najstarší francúzsky denník Le Figaro. Bol založený už v roku 1826, je najpopulárnejším denníkom v krajine a jeho on-line verzia patrí medzi TOP 50 najnavštevovanejších webov vo Francúzku.

Pre Le Figaro je to veľmi nepríjemné. Výskumníci sa zamerali len na obdobie od konca Apríla 2020 spätne do Februára 2020.
Identifikovali v tomto období zhruba 42 000 registrácií nových používateľov, čitateľov, ktorých osobné údaje unikli.

Databáza však bola vytvorená už v marci 2019 a aj vzhľadom na jej štruktúru by si vyžadovalo viac času, aby identifikovali úplný počet používateľov, ktorých údaje unikli.

Bohužiaľ neunikli len osobné údaje, aj keď pri takom množstve je už toto katastrofa. Unikli tiež logy z komunikácie vnútornej informačnej infraštruktúry denníka:

• SQL databázové dotazy a chyby
• Komunikácia medzi rôznymi serverami (IP adresy, protokly)
• Logy prihlasovaní sa adminov

Veľa log záznamov patrí komunikácii na AGORA systém, čo je hlavný CRM systém spoločnosti.

Samotná databáza bola spravovaná spoločnosťou Dadibox. Bohužiaľ to nebol jej jediný spravovaný ElasticSearch cluster, ktorý nemal prístup zabezpečený. Aby sa výskumníci utvrdili, že nájdená databáza ozaj patrí denníku Le Figaru, vytvorili si testovací účet na Le Figaro a ich účet sa naozaj v nájdenej databáze neskôr vyskytol.

Denník Le Figaro bol následne kontaktovaný ale reakciu zatiaľ nepoznáme.

Aký dopad môže mať tento únik:

1. Unikli mená a heslá používateľov, takže ak používatelia nedodržujú hygienu hesiel tak sú ohrozené ich prípadné ďalšie účty
2. Phishing a zlomyseľné maily. Uniknuté maily môžu slúžiť na sielené phisingové útoky, alebo BEC útoky
3. Uniknuté informácie z vnotornej medziserverovej komunikácie môže slúžiť ako výborný návod na to, ako zaútočiť na prvky vnútornej štruktúry a ďalších používateľov
4. Ohrozenie samotných novinárov
5. A prirodzene pokuta v zmysle GDPR a možná strata reputácie, tá sa ťažko získava a veľmi ľahko stráca!

Zopár rád na záver:

1. Dôsledne si vyberajte svojich dodávateľov, rozmýšľajte komu zverujete to najcennejšie čo máte – svoj biznis (Le Figaro ho má skrze svojich čitateľov, ktorých osobné údaje vystavil celému svetu)
2. Dôsledne chráňte prístupy k dôležitým informáciám pomocou silných hesiel a MFA (multifaktorovej autentifikácie)
3. Uvažujte nad odosielateľom mailu a obsahom skôr, než kliknete na linku v maily (možno práve teraz dostanete „zaujímavý mail“ na Free prístup do správ denníka Le Figaro)

Situácia nás určite mrzí, ale titul fail týždňa je pre denník Le Figaro bohužiaľ zaslúžený.

Obrázok: Le Figaro