Cybernews araştırma ekibi, Thomson Reuters’in veritabanlarından üçünü herkesin erişimine açık bıraktığını ve bunun sonucunda üçüncü taraf sunucu şifreleri de dahil olmak üzere 3 TB’dan fazla hassas müşteri ve kurumsal verinin sızmasına neden olduğunu fark etti.
Thomson Reuters Corporation, Kanadalı çok uluslu bir medya holdingidir. Şirketin merkezi Toronto, Ontario, Kanada’dadır.
Müşterilere, işletmeler arası medya aracı Reuters Connect, yasal araştırma hizmeti ve Westlaw veritabanı, vergi otomasyon sistemi ONESOURCE, editoryal ve kaynak materyallerden oluşan bir çevrimiçi araştırma paketi Checkpoint ve diğer araçlar gibi ürünler sağlarlar.
Cybernews, “3 TB’lık halka açık ElasticSearch veritabanı, şirketin tüm platformlarından gelen hassas, güncel bilgilerden oluşan bir hazine içeriyor”, diyor.
Raporlar, verilerin tehdit aktörleri tarafından tedarik zinciri saldırısı için kullanılabileceğini söylüyor. Öte yandan, şirket sorunu fark etti ve hemen düzeltti.
Veritabanının boyutunun analizine dayalı olarak şirket, kapsamlı, sürekli güncellenen veri hacimleriyle uğraşan işletmeler tarafından tercih edilen bir veri deposu olan ‘ElasticSearch’ü kullandı.
Şirket binlerce gigabayt veri topladı ve ifşa etti, yeraltı suç forumlarında milyonlarca dolar değerinde olacağına inanılıyor.
Üç veri tabanından ikisi herkesin erişimine açık olacak şekilde tasarlandı. Üçüncü sunucu, “üretim öncesi/uygulama ortamından uygulama günlükleri” anlamına gelen üretim dışı bir sunucuydu.
Sızıntının Detayları
Rapora göre, açık veritabanındaki günlükler hassas bilgileri barındırıyor ve tehdit aktörleri tarafından erişilirse tedarik zinciri saldırılarına yol açabiliyor. Detaylar düz metin formatında, herkese açık tutulmuştur.
“Bu tür bilgiler, tehdit aktörlerinin Thomson Reuters ile çalışan şirketler tarafından kullanılan sistemlerde ilk adımlarını atmalarına olanak sağlayacaktır. Cybernews Güvenlik Araştırmaları Başkanı Mantas Sasnauskas, Basit bir insan hatası, veri hırsızlığından fidye yazılımlarına kadar yıkıcı saldırılara yol açabilir.
Araştırmacılar ayrıca açık durumda oturum açma ve şifre sıfırlama kayıtları buldular. Günlükler, hesap sahibinin e-posta adresini ve şifre değiştirme sorgusunun tam olarak ne zaman gönderildiğini gösterir, ancak eski veya yeni şifreleri göstermez. Veritabanı 6,9 milyondan fazla benzersiz günlük içerir.
Ayrıca açık veritabanı, YouTube, Thomson Reuters müşterilerinin erişim günlükleri ve diğer veritabanlarına bağlantı dizeleri gibi diğer platformların dahili bir taramasını içerir.
Şirketin dahili ağ öğeleri açığa çıktığından, bağlantı dizelerinin bu şekilde açığa çıkması çok güvenli değildir.
“Bu örnek, hassas verileri açık bıraktı ve popüler IoT arama motorları aracılığıyla zaten dizine eklendi. Bu, kötü niyetli aktörlerin yalnızca dahili sistemlerden yararlanmaları için geniş bir saldırı yüzeyi sağlamakla kalmaz, aynı zamanda tedarik zinciri saldırılarının üstesinden gelmenin bir yolunu da sağlar”, diye ekledi Sasnauskas.
Erişilebilir veritabanlarından üçüncüsü, genellikle uygulama verilerini tutmayan ‘Üretim dışı sunucular’dır. Ancak bu, orada saklanan detayların daha az hassas olduğu anlamına gelmez.
Şirket, “Bu üretim dışı sunucu, yalnızca o ürünün üretim öncesi/uygulama ortamından uygulama günlüklerini barındırıyor ve yalnızca Thomson Reuters Global Trade müşterilerinin küçük bir alt kümesiyle ilişkilendiriliyor” dedi.
Şirket, şu anda kapalı olan sunucunun yalnızca ön üretim ve uygulama ortamındaki kullanıcı eylemleriyle oluşturulan verileri yakaladığını belirtti.
Cybernews Bilgi Güvenliği Araştırmacısı Martynas Vareikis’e göre, “Daha fazla ayrıntıya sahip olmak her zaman kötü niyetli aktörlere yardımcı olur. Kötü amaçlı yazılım bulaşmış faturalar, fidye yazılımı çeteleri tarafından saldırıya uğramaları durumunda müşteriler için büyük kayıplara neden olabilir”.
Sonuç olarak şirket, sorunun kaynağını bulmak için bir iç soruşturma başlattı. Şimdiye kadar, önde gelen teori, “ürün ortamındaki yalıtılmış bir hatanın, üretim dışı ortamın kasıtsız olarak yanlış yapılandırılmasıyla sonuçlandığını” öne sürüyor. Şirket, etkilenen müşterileri bilgilendirme sürecini başlattığını açıkladı.
Ayrıca Okuyun: Güvenli Web Filtrelemeyi İndirin – Özgür e-kitap