FitMetrix bruger data, der eksponeres via passwordless ElasticSearch server cluster

0
10

Nul

Data for et ukendt antal FitMetrix brugere blev efterladt synlige på Internettet via en klynge af ElasticSearch servere, en sikkerheds-forsker har opdaget.

De servere, der ikke var sikret med en adgangskode, tillod alle at kende deres IP-adresse for at få adgang til en guldgrube af oplysninger, hvoraf nogle indeholdt personlige oplysninger om FitMetrix brugere.

Ifølge sin hjemmeside, FitMetrix er en virksomhed, der giver pulsmåling software til fitnesscentre, studios, corporate wellness-programmer, og de sundhedsprofessionelle. Virksomheden blev grundlagt i 2013, og som er erhvervet tidligere i år af Mindbody, Inc., en anden virksomhed, der tilbyder et stort katalog af cloud-baserede business management software til wellness-tjenester industri.

Den udsatte FitMetrix server cluster, der blev opdaget ved Bob Diachenko, Direktør for Cyber Risiko Forskning på it-sikkerhedsfirma Hacken.

Diachenko fortalte ZDNet de udsatte ElasticSearch server cluster-en teknologi, der anvendes til drift fordelt søg teknologier– der er indeholdt i hundredvis af millioner af dataposter.

Ikke alle var kunde profiler, og nogle også indeholdt oplysninger om faciliteter, og andre data, der er punkter, Diachenko fortalte ZDNet, men når brugeren registrerer var udsat for, de normalt indeholdt brugerens navn, køn, fødselsdato, e-mail, brugernavn, kropsstørrelse foranstaltninger, og forskellige FitMetrix program indikatorer. Se det vedhæftede billede nedenfor.

fitmetrix.jpg
Bob Diachenko

Diachenko fortalte ZDNet, at han ikke var i stand til at bestemme det nøjagtige antal af brugeroplysninger udsat i ElasticSearch server cluster, men, alt i alt, servere, der viste sig at indeholde over 119GB af data. I en SEC filing, MindBody hævdede at tjene mere end 35 millioner månedlige aktive brugere, men det er uklart, hvor mange af dem er ved hjælp af sin FitMetrix system.

Derudover forsker, der også siger, at de servere, der er udsat en API-nøgle, som virkede til at være der anvendes til styring af den FitMetrix server-infrastruktur.

Sidst, men ikke mindst, han opdagede også en løsesum bemærk, at der synes at have været skrevet inde i ElasticSearch servere af en angriber. Dette budskab var som følger:

“ALLE DINE INDEKSET OG ELASTICSEARCH DATA, der ER SIKKERHEDSKOPIERET PÅ VORES SERVERE, for AT GENOPRETTE SENDE 0.1 BTC AT DETTE BITCOIN ADRESSE 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 SÅ SEND EN e-MAIL MED DIN SERVER IP, skal du IKKE BEKYMRE dig, VI KAN FORHANDLE, HVIS det KAN IKKE BETALE sig”

Løsepenge noter venstre inde ElasticSearch servere har været første gang set i januar 2017, når hackere indså, at de kunne placere sådanne meddelelser inde udsat servere og trick server-ejere til at betale løsepenge. I de fleste rapporterede tilfælde, angribere ikke slette eller kryptere data, men blot håbet på at skræmme offeret til at betale den løsesum efterspørgsel.

Ikke desto mindre, tilstedeværelsen af denne løsesum bemærk: FitMetrix server var venstre udsat online nok til at blive scannet, og opdagede, at mindst to personer –Diachenko og ransomer.

Den forsker, der identificerede server i sidste uge, ansvarligt oplyses, at den eksponerede servere til Mindbody. Efter flere mislykkede forsøg på at komme i kontakt med virksomheden, Mindbody sikrede servere, så snart de blev gjort opmærksom på problemet i går.

“Vi blev for nylig opmærksom på, at visse data i forbindelse med FitMetrix teknologi, der er gemt online, kan have været offentligt eksponeret. Vi tog omgående skridt til at fjerne denne svaghed,” sagde Jason Loomis, MINDBODY, Chief Information Security Officer, i en erklæring, forudsat at ZDNet via e-mail.

“De nuværende indikationer på, at dette data, der indgår en delmængde af de forbrugere, der forvaltes af FitMetrix, som blev erhvervet af MINDBODY i februar 2018, og ikke omfatter nogen login-oplysninger, adgangskoder, kreditkort informationer eller personlige oplysninger om sundhedstilstand,” tilføjede han.

“MINDBODY tager privatlivets fred og sikkerhed af vores kunde og forbruger data meget alvorligt, og vi vil udnytte denne hændelse til løbende at forbedre vores sikkerhed kropsholdning.”

Tidligere og relaterede dækning

Nordkoreas APT38 hacking gruppen bag bank kup på over $100 millionerDHS klar over igangværende APT-angreb på cloud-udbydereCanadiske restaurant kæde lider landsdækkende nedbrud efter malware udbrudGwinnett Center for Medicinsk undersøger mulige data, brudFacebook kunne ansigt $1.63 bn bøde i henhold til GDPR over seneste data, brudState Department afslører brud på datasikkerheden, medarbejder information udsatTechRepublic: Hvorfor 31% af brud på datasikkerheden føre til, at medarbejdere bliver fyretCNET: Efter Facebook ‘ s hack, der er en masse ubrugelige indlæg-brud rådgivning

Relaterede Emner:

Sikkerhed-TV

Data Management

CXO

Datacentre

0