Из-за плохой защиты сервера Elasticsearch и неправильной конфигурации базы данных злоумышленникам удалось скопировать сведения о 1133 игроках Национальной футбольной лиги США и их агентах. База данных принадлежит организации NFL Players Association и содержит домашние адреса, номера телефонов и IP-адреса сотен действующих и бывших игроков.

Специалисты Kromtech Security Center обнаружили проблему 26 сентября: по их словам, злоумышленник проник в базу данных и оставил файл pleasereadthis с требованием выкупа в размере 0,1 биткойна (440 долл. США). Преступник пригрозил выложить сведения в общий доступ, если не получит деньги в течение 120 часов. Выкуп не выплачивался, а организация NFL Players Association смогла восстановить безопасность своих данных, как сообщают в Kromtech.

Представитель NFL Players Association отказался давать комментарии.

«Содержание некоторых индексов можно было увидеть через браузер и любой пользователь Интернета мог получить к ним доступ. Индекс с названием pleasereadthis говорит о том, что один из таких пользователей, увидев данные, решил пойти на преступление», — написал Боб Дьяченко (Bob Diachenko), директор по связям с общественностью Kromtech.

Этот инцидент — лишь последнее звено в огромной цепочке утечек, вызванных неправильной конфигурацией баз данных. Ранее в этом году ИБ-эксперт Виктор Геверс (Victor Gevers) уже выявил волну нападений на незащищенные платформы управления данными с открытым кодом: по его словам, преступники взломали 28 000 баз данных MongoDB и инсталляций Elasticsearch. В большинстве случаев атакующие пользовались тем, что горе-администраторы оставили в хранилище настройки по умолчанию без требований авторизации или с примитивными паролями.

В случае с NFL Players Association они отличились, разместив неправильно сконфигурированную базу данных Elasticsearch на правильно настроенном севере Amazon S3.

«В незащищенных записях журнала есть сведения об игроках НФЛ и их агентах: адреса электронной почты, номера мобильных, домашние адреса агентов и IP-адреса, которые использовались для авторизации и доступа к панели управления», — сообщили специалисты Kromtech.

В числе известных игроков НФЛ, чьи личные данные оказались под угрозой, — бывший квотербек «Сан-Франциско Форти Найнерс» Колин Каперник (Colin Kaepernick). «Как сообщил Каперник, с 2016 года он получает множество угроз убийства в связи с протестом во время национального гимна. Утечка его личных данных может привести к ужасным последствиям», — прокомментировал Дьяченко.

В мае ИБ-эксперт Джордан Райт (Jordan Wright) отметил учащающиеся атаки на базы данных Elasticsearch. По его словам, злоумышленники применяют эксплойты к уязвимости удаленного выполнения кода, обнаруженной ранее в этом году в серверной части ПО Elasticsearch. Брешь CVE-2015-1427 позволила взломщикам автоматически загружать и запускать зловреды на уязвимых серверах компании.

Брешь залатали еще в феврале, но преступники до сих пор находят небезопасные серверы Elasticsearch. Эксперты полагают, что база данных Национальной футбольной лиги США — лишь одно из 4600 незащищенных хранилищ Elasticsearch, ставших жертвой вымогателей.

При этом утечка NFL Players Association вызвана неправильным развертыванием и администрированием базы данных и никак не связана с безопасностью самой платформы.

Дьяченко считает, что основа надежности баз данных — сочетание автоматических систем защиты и «бесконечных внутренних тренингов для повышения осведомленности персонала» об опасности утечек данных и методах их предотвращения.

Эксперты солидарны во мнении, что базы данных слишком часто становятся мишенью для преступников только потому, что в них не применяется шифрование, аутентификация, управление доступом и распределение прав.

Категории: Уязвимости, Хакеры