Milijarde ukradenih kredencijala otkriven na javno dostupnim Elasticsearch serverima
Tri javno dostupna Elasticsearch servera sadržavala su 9,8 milijardi kredencijala, uključujući 2,39 milijardi korporativnih naloga, identity provider servise i AI platforme.
Šta se desilo?
Bezbednosni istraživači su otkrili tri javno dostupna Elasticsearch servera koji su sadržavali više od 9,8 milijardi zapisa sa osetljivim podacima, uključujući kredencijale, email adrese i lozinke povezane sa korporativnim servisima. Podaci su bili distribuirani u tri odvojena skupa - dva ULP (URL-Login-Password) seta i jedan sa email-lozinka parovima. Nakon odgovarajuće notifikacije, svi serveri su obezbeđeni i isključeni sa interneta.
Koga pogađa?
Rizik je posebno ozbiljan za velika preduzeća čiji zaposleni su korišćeni kao ulazne tačke - oko 52 odsto otkrivenih kredencijala su bili korporativni email nalozi. Pogođene su i organizacije koje koriste Microsoft Entra ID, Okta i Auth0 sisteme, kao i kompanije koje koriste poslovne platforme poput Zendeska, Atlassiana i Salesforcea. Rizičnom grupi pripadaju i korisnici AI servisa (OpenAI, HuggingFace, Leonardo.ai) i oblačnih infrastruktura (AWS, Azure).
Kako se zaštititi?
- Hitno proverite da li su vaši kredencijali ili kredencijali zaposlenih dostupni na dark web platformama i bazama compromovanih podataka
- Prisilno promenite lozinke, posebno ako ste koristili istu lozinku na više servisa
- Omogućite dvofaktorsku autentifikaciju (2FA) na svim važnim nalozima - email, oblak, VPN i identity provider uslugama
- Fokusirajte se na zaštitu identity provider servisa (Microsoft Entra ID, Okta, Auth0) jer su najkritičniji za preduzeće
- Monitoring kredencijala proširite i na AI platforme i interne poslovne sisteme koje često previdite
- Implementirajte proveru za ponovna korišćenja lozinki i prisilite zaposlene da koriste jedinstvene lozinke za svaki servis
Tehnički detalji
Server #1 sadržavao je 3,9 milijarde ULP zapisa (oko 818 GB). Server #2 sadržavao je 4,6 milijarde email-lozinka parova (oko 496 GB). Server #3 sadržavao je 1,3 milijarde ULP zapisa (oko 229 GB). Najozbiljnije je što su ULP setovi omogućili napadačima da povežu kredencijale sa specifičnim URL adresama login stranica, čime se povećava korisnost podataka za ciljane napade. Identifikovani servisi uključuju enterprise identity provajdere (microsoftonline.com - 2,6 miliona zapisa, auth0.com - 200.000, okta.com - 29.000), poslovne platforme (zendesk.com - 143.000, atlassian.com - 75.000, salesforce.com - 74.000) i AI servise (openai.com - 620.000+, huggingface.co - 24.000, leonardo.ai - 18.000).
Preporuka Sajber Radara
Ova incidenta pokazuje da je Elasticsearch alat sredstvo velikih gubitaka podataka kada se pogrešno konfigurira. Organizacije moraju da primene principu minimalnih dozvola na sve javne servise, proširite monitoring na sve enterprise i AI platforme, i hitno reagujte ako utvrdite da su vaši kredencijali otkriveni. Neodložno je implementirati 2FA na identifikacijskim sistemima jer oni predstavljaju ključnu tačku napada za lateralno kretanje unutar preduzeća.
