首页 > 动态中心 > 技术文章  >  正文

汤森路透收集并泄露了至少 3TB 的敏感数据

2023-06-15 00:00:00

文章摘要:跨国媒体集团 Thomson Reuters 留下了一个开放的数据库,其中包含敏感的客户和公司数据,包括明文格式的第三方服务器密码。攻击者可以利用这些细节进行供应链攻击。Cyber​​news 研究团队发现,汤森路透至少保留了三个数据库供任何人查看。其中一个开放实例是面向公众的 3TB ElasticSearch 数据库,其中包含来自公司各个平台的大量敏感的最新信息。该公司意识到了这个问题并立即修

跨国媒体集团 Thomson Reuters 留下了一个开放的数据库,其中包含敏感的客户和公司数据,包括明文格式的第三方服务器密码。攻击者可以利用这些细节进行供应链攻击。

Cyber​​news 研究团队发现,汤森路透至少保留了三个数据库供任何人查看。其中一个开放实例是面向公众的 3TB ElasticSearch 数据库,其中包含来自公司各个平台的大量敏感的最新信息。该公司意识到了这个问题并立即修复了它。

Thomson Reuters 为客户提供的产品包括企业对企业媒体工具 Reuters Connect、法律研究服务和数据库 Westlaw、税务自动化系统 ONESOURCE、编辑和源材料在线研究套件 Checkpoint 以及其他工具。

团队发现的开放数据库的大小与使用 ElasticSearch 的公司相对应,ElasticSearch 是处理大量、不断更新的数据量的企业所青睐的数据存储。

  • 收入 63.5 亿美元的媒体巨头至少开放了三个数据库
  • 至少 3TB 敏感数据暴露给第三方服务器,包括 Thomson Reuters 明文密码
  • 公司收集的数据是威胁参与者的宝库,在地下犯罪论坛上可能价值数百万美元
  • 该公司已立即解决此问题,并开始通知他们的客户
  • 汤森路透淡化了这个问题,称它只影响“汤森路透全球贸易客户的一小部分”
  • 数据集开放了几天——恶意机器人能够在几个小时内发现实例
  • 威胁参与者可以利用泄漏进行攻击,从社会工程攻击到勒索软件

Thomson Reuters 服务器内 ElasticSearch 索引的命名表明,开放实例被用作日志服务器,以收集通过用户-客户端交互收集的大量数据。换句话说,该公司收集并暴露了数千 GB 的数据,Cyber​​news 的研究人员认为这些数据在地下犯罪论坛上价值数百万美元,因为它可能会提供给其他系统的访问权限。

与此同时,汤森路透声称,在该团队告知该公司的三台配置错误的服务器中,有两台旨在公开访问。第三台服务器是非生产服务器,用于“来自预生产/实施环境的应用程序日志”。

泄露的数据

团队审查的数据样本上的时间戳表明该信息是最近记录的,其中一些数据是 10 月 26 日的最新数据。据研究人员称,开放数据库中的日志包含敏感信息,可能导致供应链攻击如果被威胁者访问。

例如,开放数据集持有第三方服务器的访问凭证。详细信息以纯文本格式保存,任何通过打开实例爬行的人都可以看到。根据 Cyber​​news 安全研究主管 Mantas Sasnauskas 的说法,此类信息将使威胁参与者能够在与 Thomson Reuters 合作的公司使用的系统中获得初步立足点。

“ElasticSearch 是一种非常常见且广泛使用的数据存储,并且容易出现配置错误,这使得任何人都可以访问它。该实例使敏感数据处于打开状态,并且已通过流行的 IoT [物联网] 搜索引擎进行索引。这为恶意行为者提供了一个巨大的攻击面,不仅可以利用内部系统,还可以利用供应链攻击进行攻击。一个简单的人为错误可能导致破坏性攻击,从数据泄露到勒索软件,”Sasnauskas 说。

该团队还发现打开的实例包含登录和密码重置日志。虽然这些不会暴露旧密码或新密码,但日志会显示帐户持有人的电子邮件地址,并且可以看到发送密码更改查询的确切时间。

另一条敏感信息包括 SQL(结构化查询语言)日志,显示 Thomson Reuters 客户正在寻找的信息。这些记录还包括查询带回的信息。

这包括包含有关特定企业或个人的公司和法律信息的文件。例如,一家位于美国的公司的员工正在使用汤森路透服务寻找有关俄罗斯组织的信息,却发现其董事会成员因其在入侵乌克兰中的作用而受到美国的制裁。

该团队还发现,开放数据库包括对其他平台的内部筛选,例如 YouTube、汤森路透客户的访问日志以及与其他数据库的连接字符串。连接字符串的暴露尤其危险,因为公司的内部网络元素暴露在外,使得威胁参与者能够横向移动并通过 Reuter Thomson 的内部系统进行枢转。

由于数据库拥有超过 690 万条独特的日志,这些日志占用了超过 3TB 的服务器磁盘,因此打开的实例很可能包含更多敏感数据。该团队声称,如果不跨越研究人员运作的道德界限,就不可能知道数据集实际有多大。

“这个实例使敏感数据处于打开状态,并且已经通过流行的物联网搜索引擎编入索引。这为恶意行为者提供了一个巨大的攻击面,不仅可以利用内部系统,还可以利用供应链攻击通过,”

萨斯瑙斯卡斯说。

公司调查

该团队在发现泄漏数据库后联系了汤森路透,该公司立即关闭了打开的实例。

“接到通知后,我们立即调查了 Cyber​​news 提供的关于三台可能配置错误的服务器的调查结果,”汤森路透代表告诉 Cyber​​news。

据该公司称,其中两台服务器被设计为可公开访问,而第三台是非生产服务器,与汤森路透的产品 ONESOURCE Global Trade Product 相关。该工具允许用户“管理出口/进口、制裁筛选以及其他贸易管制活动和相关文件”。

该公司解释说:“这种非生产服务器仅包含来自该产品的预生产/实施环境的应用程序日志,并且仅与汤森路透全球贸易客户的一小部分相关联。”

非生产服务器通常不保存应用程序数据。但是,这并不意味着存储在那里的细节不那么敏感。

Sasnauskas 说:“开放实例类似于一个开发服务器,它可以由整个基础设施组成,通常包含更敏感的客户端活动和数据。”

Thomson Reuters 表示,现在关闭的服务器仅捕获通过预生产和实施环境中的用户操作生成的数据。

“服务器包含运营支持平台所需的信息,”该公司的代表解释说。

但是,很难判断存储在实例上的所有详细信息是否对于支持平台的操作都是必要的。无论哪种方式,即使所有数据都是必不可少的,但如果泄露,这并不会降低敏感度。

“存储在服务器上的信息非常敏感。此类案例引发了有关企业数据收集实践的问题。至少可以说,如此规模的数据泄漏的后果令人担忧,”Sasnauskas 解释说。

该公司展开了调查,以查明问题的根源。迄今为止的主要理论是“产品环境中的孤立错误导致非生产环境的无意错误配置”。

汤森路透表示,已开始通知受影响的客户。

显着影响

研究人员认为,数据集上的任何信息丢失不仅会损害汤森路透及其客户,还会损害公共利益。

例如,开放数据库泄露了一些个人和组织的敏感筛选和合规数据。来自面向公众的 Thomson Reuters 数据库中的可访问数据可能已经向那些希望将自己的不法行为蒙在鼓里的实体提供了线索。

Cyber​​news 的信息安全研究员 Martynas Vareikis 表示,威胁参与者可以使用数据集中暴露的电子邮件地址进行网络钓鱼攻击。攻击者可以冒充 Thomson Reuters 并向该公司的客户发送虚假发票。

“存储在服务器上的信息非常敏感。此类案例引发了有关企业数据收集实践的问题。至少可以说,如此规模的数据泄漏的后果令人担忧,”

萨斯瑙斯卡斯解释道。

“拥有更多细节总是有助于恶意行为者。知道受害者是 Thomson Reuters 的客户,就可以开展有针对性的活动。如果 Thomson Reuters 的客户使用非公开的商业电子邮件地址向公司注册,情况尤其如此。感染恶意软件的发票如果受到勒索软件团伙的攻击,可能会给客户造成巨大损失,”Vareikis 解释说。

根据 Sasnauskas 的说法,攻击者可以通过多种方式利用泄露的细节来伤害公司本身。他声称,访问日志文件和实例可能使恶意行为者能够泄露敏感信息、勒索业务,并获得有关内部网络、系统和正在使用的服务的知识。

Sasnauskas 说:“攻击者可以在系统中进行旋转和横向移动,并引发大量恶意行为,例如向经纪人或勒索软件附属机构出售访问权限,并发起复杂的攻击,可能包括勒索软件。”

为什么会这样?

通过对可访问 Web 服务器的 SSL(安全套接字层)证书、DNS(域名系统)数据以及 ElasticSearch 实例本身的信息进行彻底检查,该团队可以确认开放数据库属于 Thomson Reuters Corporation。自 10 月 21 日起,该服务器一直处于可访问状态。

在那天之前,物联网搜索引擎没有显示任何 Thomson Reuters 实例的结果。由于网络空间充满了寻找开放数据库的机器人和脚本,因此以前公众可以访问该数据库是值得怀疑的。

根据 Vareikis 的说法,数据集突然出现在线的最可能原因是配置错误。

“我们认为这是由 AWS Elastic Load Balancing 服务的错​​误配置引起的,该服务遵循了未配置为完全覆盖访问控制规则的不同规则,导致该服务向公众公开,”Vareikis 解释说。

过去暴露?

汤森路透  去年发布的一份白皮书中规定的安全原则声称,该公司的安全配置是根据最佳实践创建和部署的。

然而,通过挖掘物联网搜索引擎的历史数据,研究人员发现汤森路透的一些配置和系统环境文件在去年被曝光。出现在物联网搜索引擎上的一些文件直到今天仍然暴露在外。

“该非生产服务器仅包含来自该产品的预生产/实施环境的应用程序日志,并且仅与汤森路透全球贸易客户的一小部分相关联,”

该公司解释道。

该公司的安全原则还规定,它执行自动化和集中式日志记录以提供实时警报。但是,公众可以访问开放数据集几天。

“一个开放的服务器只需不到几个小时就可以爬满机器人。同时,数据显示该实例已连续开放三天以上。它引出了一个问题,即如果没有人审查警报,是否需要实时警报,”Vareikis 说。[本文译自:https://securityaffairs.co/wordpress/137718/data-breach/thomson-reuters-database-exposed.html,作者:Vilius Petkauskas]

【编辑推荐】洞察眼MIT系统信息安全管理系统–-企业文件保密专家!防拷贝复制、防外发泄密!实现企业内部文件只允许在内部环境流转使用,未经许可,私自将公司文件带离公司网络环境,将无法打开使用,显示为乱码。

对于外发给第三方的文件,可实现控制打开时间和打开次数等防泄密参数!同时可设置对员工电脑文件自动备份,防止恶意删除造成核心数据的遗失!从源头防止企业核心文件被外泄!

上一篇 : 火热游戏《原神》遭遇大规模数据泄露
  • 相关推荐
  • 如何有效监控员工上网行为并详细查看上网时长与记录

    在数字化办公日益普及的今天,员工上网行为的管理成为了企业管理的重要一环。合理监控员工上网行为不仅有助于提升工作效率,还能保障信息安全和符合公司政策。本文将深入探讨如何有效监控员工上网行为,并详细阐述如何查看员工的上网时长和记录。一、选择专业的监控工具1. 上网行为管理软件市场上存在多种专业的上网行为管理软件,如洞察眼M...

    2024-09-02 08:45:42
  • 怎样禁止邮件发送附件

    入侵电子邮件并获取其承载信息成为网络攻击的主要目标之一,因此,掌握基本的电子邮件安全常识显得尤为重要。 “涉密不上网,上网不涉密”是国家秘密安全底线,电子邮件作为互联网应用之一,绝不能存储、传输涉密信息和敏感重要的工作信息,无论是邮件标题、内容还是邮件附件,都禁止涉密。 这其中,邮件附件发送是主要的泄密渠道之一,今天就...

    2024-03-25 17:45:18
  • 如何对文档加密并能看到谁访问过

    数字化时代,保护个人信息和重要文件的安全变得越来越重要。加密是一种有效的保护手段,可以防止未经授权的人访问你的文件。本文将介绍几种对文档进行加密的方法,并提供详细的步骤。 1、使用密码保护 这是最基础的加密方式,几乎所有的文档编辑软件都支持设置密码,如Microsoft Word、Excel等。以下是在Microso...

    2023-11-03 11:44:36
  • 企业如何找到证据并防止员工飞单

    摘要: 在企业管理中,防止员工进行飞单是一个重要的问题。为了找到证据并防止员工飞单,企业可以借助洞察眼MIT系统的功能,比如上网行为管理、电脑监控、聊天监控、数据防泄密等。本文将重点介绍这些功能的具体作用和使用方法。小标题1:上网行为管理1、上网行为管理是指企业对员工的上网活动进行监控和管理,以防止他们进行飞单等违规行...

    2023-08-14 00:00:00
  • 局域网远程监控并控制其他电脑如何实现呢

    随着公司的发展,员工也是越来越多,在管理起来也是有一定的难度的,员工在上班过程中除了做工作之外会做一些与工作无关的事情,那么管理者在进行员工管理的时候,如何在局域网远程监控并控制其他电脑如何实现呢?企业员工的日常管理一直都是管理者比较头疼的问题,如果对局域网内的员工进行管理就要通过技术手段来对员工电脑进行设置了,为避免...

    2023-07-09 00:00:00
  • 如何了解并管理员工浏览网页行为

    随着互联网的快速发展,员工都已进入了电脑化办公的状态,为了能够对员工在电脑上聊天进行管理,做到防止员工随意浏览与工作无关的网页或出现摸鱼的行为,而且想要了解员工在电脑上浏览或者访问了哪些网址,就需要使用专门的工具进行上网行为管理了。管理者可以通过在员工电脑安装洞察眼的客户端,在自己电脑上安装管理端,然后通过策略模板在网...

  • 洞察眼公司核心产品基于一次付费、永久使用、永久免费升级并享受永久免费技术支持的优惠举措,当前国内性价比较高!

    洞察眼公司核心产品基于一次付费、永久使用、永久免费升级并享受永久免费升级的优惠举措,当前国内性价比较高!

    2023-06-26 00:00:00
  • 加密u盘

    摘要:本文将详细介绍加密U盘,并为读者提供相关的背景知识。加密U盘是一种安全可靠的储存设备,它可以保护用户的私人数据或敏感信息不被外部人士窃取或恶意利用。本文将从四个方面对加密U盘进行介绍,分别是加密U盘的工作原理、其优点和缺点、最佳使用场景和未来发展趋势。一、加密U盘的工作原理加密U盘的工作原理是基于一些强大的加密算...

    2023-06-16 17:03:43
  • 黑客窃取并出售5000万条莫斯科司机数据记录

    据bleepingcomputer网站报道,黑客正在某地下论坛出售一个窃取的包含5000万条莫斯科司机数据记录的数据库,售价800美元。据购买该数据库的俄罗斯媒体称,他们购买了一小部分样本,显示数据所示年份在 2006 年至 2019 年之间,某些内容已经过时,但数据真实性已得到确认。此外,卖家还向购买者额外提供了20...

    2023-06-15 00:00:00
  • 监控屏幕怎么合并到电脑

    摘要:随着科技的不断发展,监控系统的重要性越来越凸显出来。监控屏幕是监控系统的核心设备之一,但如果能将监控屏幕和电脑合并,将会使得监控工作更加高效便捷。本文将从硬件设备、软件、连接方式、应用场景四个方面介绍监控屏幕如何合并到电脑中,以期为读者提供一些有用的信息和建议。一、硬件设备考虑到监控屏幕如何合并到电脑,首先要考虑...

    2023-06-15 12:08:42

大家都在搜的词:

微信扫一扫联系售前工程师