По информации телеграм-канала «Утечки иформации», в сети Интернет с 1 апреля 2022 года находится в открытом доступе сервер Elasticsearch, в индексе которого содержатся СМС-сообщения от различных российских и зарубежных сервисов и банков.
Анализ базы данных этого сервера Elasticsearch показал, что там есть СМС с кодами подтверждений пользователей и информацией о балансе карт и прочим от (как указано в поле «отправитель», sender) Google, Microsoft, «Тинькофф», «Аэрофлот», «Юла», «Озон» и многих других. Также в базе сервера есть индексы с СМС от множества арабских банков.
Первая запись в базе данных этого сервера была сделана 1 ноября 2021 года. Суммарный размер индексов для анализа на сервере составляет около 4,5 ТБ.
Причина открытия данного сервера в свободный доступ с 1 апреля 2022 года по версии специалистов — классическая ошибка администрирования Elasticsearch при настройке доступа.
По этой утечке данных для Хабра дал комментарий основатель сервиса поиска утечек и мониторинга даркнета DLBI Ашот Оганесян. Он пояснил, что сам сервер находится на площадке Amazon в США. Причем эксперты DLBI не смогли идентифицировать владельца сервера. Он продолжает находится в отрытом доступе до сих пор. По мнению специалистов, это сервер компании, предоставляющей свой сервис по услугам СМС-рассылок различным партнерам и крупным клиентам.
Эксперты DLBI также пояснили, что один из индексов (send_record_202204) постоянно обновляется: туда добавляются новые СМС от различных сервисов и банков. Часть номеров телефонов получателей скрыта звездочками. Содержимое сообщений, включая одноразовые коды для двухфакторной аутентификации и восстановления паролей, хранится на этом сервере в открытом виде.
Пример данных с сервера с отправителем Ozon.В июне 2021 года эксперты DLBI обнаружили в открытом доступе сервер Elasticsearch, в индексе которого содержатся СМС-сообщения, предположительно, отправленные с номера 900. Сервер находился за пределами России. В «Сбере» после инцидента заявили, что это фейковый сервер. Но, после передачи информации о нем в ИБ-службу «Сбера», доступ к серверу остался открыт, но все индексы Elasticsearch на сервере, включая все данные по СМС, были стерты.
