Как стать автором
Обновить

Эксперты обнаружили сервер Elasticsearch с содержимым СМС-сообщений от сервисов и банков, включая «Тинькофф» и «Озон»

Время на прочтение2 мин
Количество просмотров62K


По информации телеграм-канала «Утечки иформации», в сети Интернет с 1 апреля 2022 года находится в открытом доступе сервер Elasticsearch, в индексе которого содержатся СМС-сообщения от различных российских и зарубежных сервисов и банков.

Анализ базы данных этого сервера Elasticsearch показал, что там есть СМС с кодами подтверждений пользователей и информацией о балансе карт и прочим от (как указано в поле «отправитель», sender) Google, Microsoft, «Тинькофф», «Аэрофлот», «Юла», «Озон» и многих других. Также в базе сервера есть индексы с СМС от множества арабских банков.

Первая запись в базе данных этого сервера была сделана 1 ноября 2021 года. Суммарный размер индексов для анализа на сервере составляет около 4,5 ТБ.

Причина открытия данного сервера в свободный доступ с 1 апреля 2022 года по версии специалистов — классическая ошибка администрирования Elasticsearch при настройке доступа.

По этой утечке данных для Хабра дал комментарий основатель сервиса поиска утечек и мониторинга даркнета DLBI Ашот Оганесян. Он пояснил, что сам сервер находится на площадке Amazon в США. Причем эксперты DLBI не смогли идентифицировать владельца сервера. Он продолжает находится в отрытом доступе до сих пор. По мнению специалистов, это сервер компании, предоставляющей свой сервис по услугам СМС-рассылок различным партнерам и крупным клиентам.

Эксперты DLBI также пояснили, что один из индексов (send_record_202204) постоянно обновляется: туда добавляются новые СМС от различных сервисов и банков. Часть номеров телефонов получателей скрыта звездочками. Содержимое сообщений, включая одноразовые коды для двухфакторной аутентификации и восстановления паролей, хранится на этом сервере в открытом виде.

Пример данных с сервера с отправителем Ozon.

В июне 2021 года эксперты DLBI обнаружили в открытом доступе сервер Elasticsearch, в индексе которого содержатся СМС-сообщения, предположительно, отправленные с номера 900. Сервер находился за пределами России. В «Сбере» после инцидента заявили, что это фейковый сервер. Но, после передачи информации о нем в ИБ-службу «Сбера», доступ к серверу остался открыт, но все индексы Elasticsearch на сервере, включая все данные по СМС, были стерты.
Теги:
Хабы:
Если эта публикация вас вдохновила и вы хотите поддержать автора — не стесняйтесь нажать на кнопку
Всего голосов 24: ↑23 и ↓1+29
Комментарии125

Другие новости

Истории

Работа

Ближайшие события

27 августа – 7 октября
Премия digital-кейсов «Проксима»
МоскваОнлайн
11 сентября
Митап по BigData от Честного ЗНАКа
Санкт-ПетербургОнлайн
14 сентября
Конференция Practical ML Conf
МоскваОнлайн
19 сентября
CDI Conf 2024
Москва
20 – 22 сентября
BCI Hack Moscow
Москва
24 сентября
Конференция Fin.Bot 2024
МоскваОнлайн
25 сентября
Конференция Yandex Scale 2024
МоскваОнлайн
28 – 29 сентября
Конференция E-CODE
МоскваОнлайн
28 сентября – 5 октября
О! Хакатон
Онлайн
30 сентября – 1 октября
Конференция фронтенд-разработчиков FrontendConf 2024
МоскваОнлайн