Как стать автором
Обновить

Эксперты обнаружили сервер Elasticsearch с содержимым СМС-сообщений от сервисов и банков, включая «Тинькофф» и «Озон»

Время на прочтение 2 мин
Количество просмотров 62K


По информации телеграм-канала «Утечки иформации», в сети Интернет с 1 апреля 2022 года находится в открытом доступе сервер Elasticsearch, в индексе которого содержатся СМС-сообщения от различных российских и зарубежных сервисов и банков.

Анализ базы данных этого сервера Elasticsearch показал, что там есть СМС с кодами подтверждений пользователей и информацией о балансе карт и прочим от (как указано в поле «отправитель», sender) Google, Microsoft, «Тинькофф», «Аэрофлот», «Юла», «Озон» и многих других. Также в базе сервера есть индексы с СМС от множества арабских банков.

Первая запись в базе данных этого сервера была сделана 1 ноября 2021 года. Суммарный размер индексов для анализа на сервере составляет около 4,5 ТБ.

Причина открытия данного сервера в свободный доступ с 1 апреля 2022 года по версии специалистов — классическая ошибка администрирования Elasticsearch при настройке доступа.

По этой утечке данных для Хабра дал комментарий основатель сервиса поиска утечек и мониторинга даркнета DLBI Ашот Оганесян. Он пояснил, что сам сервер находится на площадке Amazon в США. Причем эксперты DLBI не смогли идентифицировать владельца сервера. Он продолжает находится в отрытом доступе до сих пор. По мнению специалистов, это сервер компании, предоставляющей свой сервис по услугам СМС-рассылок различным партнерам и крупным клиентам.

Эксперты DLBI также пояснили, что один из индексов (send_record_202204) постоянно обновляется: туда добавляются новые СМС от различных сервисов и банков. Часть номеров телефонов получателей скрыта звездочками. Содержимое сообщений, включая одноразовые коды для двухфакторной аутентификации и восстановления паролей, хранится на этом сервере в открытом виде.

Пример данных с сервера с отправителем Ozon.

В июне 2021 года эксперты DLBI обнаружили в открытом доступе сервер Elasticsearch, в индексе которого содержатся СМС-сообщения, предположительно, отправленные с номера 900. Сервер находился за пределами России. В «Сбере» после инцидента заявили, что это фейковый сервер. Но, после передачи информации о нем в ИБ-службу «Сбера», доступ к серверу остался открыт, но все индексы Elasticsearch на сервере, включая все данные по СМС, были стерты.
Теги:
Хабы:
Если эта публикация вас вдохновила и вы хотите поддержать автора — не стесняйтесь нажать на кнопку
+29
Комментарии 125
Комментарии Комментарии 125

Другие новости

Истории

Работа

Ближайшие события

Московский туристический хакатон
Дата 23 марта – 7 апреля
Место
Москва Онлайн
Геймтон «DatsEdenSpace» от DatsTeam
Дата 5 – 6 апреля
Время 17:00 – 20:00
Место
Онлайн