FitMetrix dati utente esposti via senza password ElasticSearch cluster di server

0
9

Zero

I dati per un numero imprecisato di FitMetrix utenti è stato lasciato esposto su Internet tramite un cluster di ElasticSearch server, un ricercatore di sicurezza ha scoperto.

Il server, che non sono stati protetti con una password di accesso, consentito a chiunque di conoscere il proprio indirizzo IP per accedere a un tesoro di informazioni, alcune delle quali conteneva i dati personali di FitMetrix utenti.

Secondo il suo sito web, FitMetrix è una società che fornisce il monitoraggio della frequenza cardiaca software per palestre, studi, programmi di corporate wellness e sanità professionisti. L’azienda è stata fondata nel 2013 e acquisito all’inizio di quest’anno da Mindbody, Inc., un’altra azienda che offre un ampio catalogo di cloud-based software di gestione aziendale per il benessere settore dei servizi.

L’esposto FitMetrix cluster di server è stato scoperto da Bob Diachenko, Direttore del Rischio informatico Ricerca in cyber-sicurezza ditta Hacken.

Diachenko detto a ZDNet esposto ElasticSearch cluster di server –una tecnologia utilizzata per l’alimentazione di ricerca distribuiti tecnologie– conteneva centinaia di milioni di record di dati.

Non erano tutti i profili dei clienti, e alcune conteneva anche informazioni sulle strutture e altri punti di dati, Diachenko detto a ZDNet, ma quando l’utente registrazioni sono state esposte, di solito contenuti dell’utente, nome, sesso, data di nascita, email, nome utente, le dimensioni del corpo misure e vari FitMetrix programma indicatori. Vedere l’immagine allegata di seguito.

fitmetrix.jpg
Bob Diachenko

Diachenko detto a ZDNet non era in grado di determinare il numero esatto dei dettagli dell’utente esposti in ElasticSearch cluster di server, ma, in totale, il server sembrava contenere oltre 119GB di dati. In un SEC filing, MindBody affermato di servire oltre 35 milioni di utenti attivi al mese, ma non è chiaro come molti di coloro che utilizzano il FitMetrix sistema.

Inoltre, il ricercatore dice anche il server esposti una chiave API che sembrava essere utilizzato per la gestione del FitMetrix infrastruttura server.

Ultimo ma non meno importante, ha anche scoperto una nota di riscatto che sembra essere stato scritto all’interno di ElasticSearch server da un attaccante remoto. Questo messaggio è stato come segue:

“TUTTO il VOSTRO INDICE E ELASTICSEARCH DATI SONO STATI salvati sul NOSTRO SERVER, PER RIPRISTINARE INVIARE 0.1 BTC A QUESTO INDIRIZZO BITCOIN 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 QUINDI INVIARE UNA e-MAIL CON il VOSTRO indirizzo IP del SERVER, NON ti PREOCCUPARE, SIAMO in GRADO di NEGOZIARE SE NON PUÒ PAGARE”

Ransom note a sinistra all’interno di ElasticSearch server sono stati visto per la prima volta nel gennaio del 2017, quando gli hacker hanno capito che potevano luogo di tali messaggi all’interno esposto server e trucco server proprietari a pagare i riscatti. Nella maggior parte dei casi segnalati, gli aggressori non eliminare o crittografare i dati, ma semplicemente sperava di spaventare la vittima a pagare la somma richiesta.

Tuttavia, la presenza di questa nota di riscatto significa che il FitMetrix server è stata lasciata a vista online abbastanza per essere analizzato e scoperto da almeno due persone –Diachenko e il ransomer.

Il ricercatore, che ha individuato il server scorsa settimana, responsabile comunicati esposti server di Mindbody. Dopo diversi tentativi falliti di entrare in contatto con l’azienda, Mindbody assicurato il server non appena sono stati messi a conoscenza del problema di ieri.

“Abbiamo di recente sono venuto a conoscenza che alcuni dati associati con FitMetrix tecnologia archiviati online potrebbe essere stato esposto pubblicamente. Abbiamo preso misure immediate per chiudere questa vulnerabilità,” ha detto Jason Loomis, MINDBODY, Chief Information Security Officer, in una dichiarazione fornita di ZDNet via e-mail.

“Le attuali indicazioni sono che questo tipo di dati incluso un sottoinsieme dei consumatori gestiti da FitMetrix, che è stata acquisita da MINDBODY nel febbraio del 2018, e non includono eventuali credenziali di login, password, informazioni di carta di credito o informazioni personali sulla salute”, ha aggiunto.

“MINDBODY prende la privacy e la sicurezza dei nostri clienti e dei consumatori i dati sul serio, e ci si leva questo incidente per migliorare costantemente il nostro livello di sicurezza.”

Precedente e relativa copertura

Corea del nord APT38 gruppo di hacker dietro di banca rapine di oltre $100 milioniDHS consapevoli dei continui attacchi APT a fornitori di servizi cloudCanadese catena di ristoranti soffre il paese interruzione dopo l’epidemia di malwareGwinnett Centro Medico indaga la possibile violazione di dati diFacebook potrebbe affrontare $1.63 miliardi di fine sotto la GDPR negli ultimi violazione di datidel Dipartimento di Stato rivela violazione di dati, informazioni per i lavoratori espostiTechRepublic: Perché il 31% delle violazioni di dati di piombo per i dipendenti il licenziamento diCNET: Dopo Facebook trucco, c’è un sacco di inutili post-violazione consigli

Argomenti Correlati:

Di sicurezza, TV

La Gestione Dei Dati

CXO

Centri Dati

0