Javno dostupni Elasticsearch serveri otkrili 9,8 milijardi zapisa sa akreditivima
Tri javna Elasticsearch servera izložila su 9,8 milijardi kredencijala uključujući e-poštu, lozinke i vezane servise - više od polovine su korporativni nalozi.
Šta se desilo?
Bezbednosni istraživači su otkrili tri javno dostupna Elasticsearch servera koja su sadržala više od 9,8 milijardi zapisa sa kredencijalom. Otkriveni podaci uključivali su kombinacije e-pošte i lozinke, kao i detaljnije ULP zapise (URL - email - lozinka) koji povezuju kredencijale sa specifičnim servisima. Nakon odgovarajuće obave o bezbednosnoj propusti, svi serveri su obezbeženi i izvedeni iz pogona.
Koga pogađa?
Otkriveni podaci predstavljaju rizik za najveći broj učesnika u digitalno mreženom svetu. Više od polovine eksponiranih kredencijala pripada korporativnim nalogima, što direktno ugrožava preduzeća i njihove sisteme. Rizik se proteže i na korisnika identiteta (Microsoft, Okta, Auth0), poslovne platforme (Zendesk, Atlassian, Salesforce), servis oblaka (Amazon, Azure), i sve više na platforme veštačke inteligencije. Građani čiji su lični kredencijali izloženi takođe su potencijalne žrtve zloupotrebe naloga.
Kako se zaštititi?
- Proverite da li vaša e-pošta ili lozinka pripadaju otkrivenim skupovima podataka korišćenjem javnih baza kao što je Have I Been Pwned
- Odmah promenite lozinke za sve kritične naloge, posebno korporativne i one vezane za identitetne servise
- Omogućite višefaktorsku autentifikaciju (MFA) na svim važnim platformama - e-pošta, oblačnim servisima, identitetnim provajderima
- Pratite neobičnu aktivnost na vašim nalogima i razmislite o zamrzavanju kredita ako su otkriveni lični podaci
- Organizacije trebaju pregledati pristupe i privilegije vezane za Azure, Okta ili Auth0 naloge da otkriju bilo koji neovlašćeni pristup
- Obučite zaposlene o rizicima ponovne upotrebe lozinki i važnosti jedinstvenih lozinki za razne servise
Tehnički detalji
Tri Elasticsearch instanci sadržavale su sledeće: Server 1 - 3,92 milijarde ULP zapisa (818 GB), Server 2 - 4,61 milijardi parova e-pošte i lozinke (496 GB), Server 3 - 1,35 milijardi ULP zapisa (229 GB). Analiza je pokazala da su kredencijali povezani sa Microsoft Online (2,6 miliona+), Auth0 (oko 200.000), Okta (oko 29.000), kao i sa OpenAI (620.000+), HuggingFace (24.000+) i drugima. Korporativni nalozi su činili 52% od 4,6 milijardi otkrivenih e-mail adresa.
Preporuka Sajber Radara
Ova eksponiranja pokazuje da nepravilno konfiguriovani Elasticsearch serveri i dalje predstavljaju masivnu pretnju. Organizacije hitno trebaju da audit svoje sisteme za logovanje i praćenje podataka kako bi sprečile da osetljivi kredencijali budu javno dostupni. Redovno proverite konfiguraciju i primenite striktnu kontrolu pristupa - ekspozicija ovakvih razmera nije slučajnost već rezultat dugotrajne nebezbednosti.
