Pull to refresh

Эксперты обнаружили сервер Elasticsearch с содержимым СМС-сообщений от сервисов и банков, включая «Тинькофф» и «Озон»

Reading time 2 min
Views 62K


По информации телеграм-канала «Утечки иформации», в сети Интернет с 1 апреля 2022 года находится в открытом доступе сервер Elasticsearch, в индексе которого содержатся СМС-сообщения от различных российских и зарубежных сервисов и банков.

Анализ базы данных этого сервера Elasticsearch показал, что там есть СМС с кодами подтверждений пользователей и информацией о балансе карт и прочим от (как указано в поле «отправитель», sender) Google, Microsoft, «Тинькофф», «Аэрофлот», «Юла», «Озон» и многих других. Также в базе сервера есть индексы с СМС от множества арабских банков.

Первая запись в базе данных этого сервера была сделана 1 ноября 2021 года. Суммарный размер индексов для анализа на сервере составляет около 4,5 ТБ.

Причина открытия данного сервера в свободный доступ с 1 апреля 2022 года по версии специалистов — классическая ошибка администрирования Elasticsearch при настройке доступа.

По этой утечке данных для Хабра дал комментарий основатель сервиса поиска утечек и мониторинга даркнета DLBI Ашот Оганесян. Он пояснил, что сам сервер находится на площадке Amazon в США. Причем эксперты DLBI не смогли идентифицировать владельца сервера. Он продолжает находится в отрытом доступе до сих пор. По мнению специалистов, это сервер компании, предоставляющей свой сервис по услугам СМС-рассылок различным партнерам и крупным клиентам.

Эксперты DLBI также пояснили, что один из индексов (send_record_202204) постоянно обновляется: туда добавляются новые СМС от различных сервисов и банков. Часть номеров телефонов получателей скрыта звездочками. Содержимое сообщений, включая одноразовые коды для двухфакторной аутентификации и восстановления паролей, хранится на этом сервере в открытом виде.

Пример данных с сервера с отправителем Ozon.

В июне 2021 года эксперты DLBI обнаружили в открытом доступе сервер Elasticsearch, в индексе которого содержатся СМС-сообщения, предположительно, отправленные с номера 900. Сервер находился за пределами России. В «Сбере» после инцидента заявили, что это фейковый сервер. Но, после передачи информации о нем в ИБ-службу «Сбера», доступ к серверу остался открыт, но все индексы Elasticsearch на сервере, включая все данные по СМС, были стерты.
Tags:
Hubs:
If this publication inspired you and you want to support the author, do not hesitate to click on the button
+29
Comments 125
Comments Comments 125

Other news