FitMetrix användardata som exponeras via passwordless ElasticSearch server kluster

0
17

Noll

Data för ett okänt antal FitMetrix användare som var kvar exponeras på Internet via ett kluster av ElasticSearch servrar, en säkerhetsforskare har upptäckt.

Servrar, som inte var skyddad med ett lösenord, accepteras att någon vet deras IP-adress för att få tillgång till en skatt av information, som innehöll personuppgifter FitMetrix användare.

Enligt sin hemsida, FitMetrix är ett företag som erbjuder pulsmätning programvara för gym, studios, företagets friskvårdsprogram och hälso-och sjukvårdspersonal. Företaget grundades i 2013 och förvärvade tidigare i år från Mindbody, Inc., ett annat företag som erbjuder ett stort sortiment av molnbaserade affärssystem för wellness tjänster.

Den exponerade FitMetrix server-klustret, som upptäcktes av Bob Diachenko, Chef för It-Risk för Forskning på it-säkerhetsföretaget Hacken.

Diachenko berättade ZDNet utsatta ElasticSearch server kluster-en teknik som används för att driva distribuerad sökning teknik– innehöll hundratals miljoner dataposter.

Inte alla var kund profiler, och en del innehöll också information om anläggningar och andra data poäng, Diachenko berättade ZDNet, men när användaren registrerar var utsatta, de vanligen ingår användarens namn, kön, födelsedatum, e-postadress, användarnamn, kroppsstorlek åtgärder, och olika FitMetrix program indikatorer. Se bild nedan.

fitmetrix.jpg
Bob Diachenko

Diachenko berättade ZDNet han hade inte möjlighet att fastställa det exakta antalet användare detaljer utsatta i ElasticSearch server-klustret, men totalt servrarna innehöll över 119GB av data. I en SEC arkivering, MindBody hävdade att tjäna över 35 miljoner månatliga aktiva användare, men det är oklart hur många av dem som använder sitt FitMetrix system.

Dessutom kan forskaren också säger servrar utsätts en API-nyckel som verkade användas för att hantera den FitMetrix server-infrastruktur.

Sist men inte minst, han upptäckte också en gisslan anteckning som verkar ha skrivits inuti ElasticSearch servrar av en angripare. Detta budskap var följande:

“ALLA INDEX OCH ELASTICSEARCH DATA HAR säkerhetskopierats PÅ VÅRA SERVRAR, för ATT ÅTERSTÄLLA SKICKA 0.1 BTC TILL DETTA BITCOIN-ADRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 SKICKA SEDAN ETT MAIL MED DIN SERVER IP, OROA dig INTE, VI KAN NEGOCIATE OM INTE KAN BETALA”

Lösen anteckningar kvar inne ElasticSearch servrar har varit för första gången i januari 2017, när hackare insåg att de skulle kunna placera sådana meddelanden i utsatta servrar och trick ägare server till att betala lösensummor. I de flesta rapporterade fall, angripare inte radera eller kryptera data, men bara hoppats på att skrämma ett offer till att betala lösen efterfrågan.

Trots förekomsten av denna lösen not: FitMetrix server var kvar utsatt online tillräckligt för att bli läst och upptäckt av minst två personer –Diachenko och ransomer.

Forskaren, som identifierat server förra veckan, på ett ansvarsfullt sätt lämnas ut till den som utsätts servrar för att Mindbody. Efter flera misslyckade försök att komma i kontakt med företaget, Mindbody säkrade servrar så snart som de var medvetna om att frågan igår.

“Vi nyligen blev medveten om att vissa uppgifter i samband med FitMetrix teknik som lagras online kan ha varit exponerade offentligt. Vi tog omedelbara åtgärder för att stänga denna sårbarhet”, sade Jason Loomis, MINDBODY Chief Information Security Officer, i ett uttalande till ZDNet via e-post.

“Nuvarande tyder på att denna data ingår en delmängd av de konsumenter som förvaltas av FitMetrix, som förvärvades av MINDBODY i februari 2018, och inte har några inloggningsuppgifter, lösenord, kreditkortsnummer eller personlig information om hälsa,” tillade han.

“MINDBODY tar sekretessen och säkerheten för våra kunders och konsumenters uppgifter på allvar, och vi kommer att utnyttja den här händelsen för att kontinuerligt förbättra vår säkerhet hållning.”

Tidigare och relaterade täckning

Nordkorea är APT38 hacka gruppen bakom bank heists på över $100 miljonerDHS medveten om pågående APT-attacker på cloud service providersKanadensiska restaurang kedja lider landsomfattande strömavbrott efter malware utbrottGwinnett Medical Center undersöker eventuellt dataintrångFacebook riskerar $1.63 miljarder euro böter enligt GDPR över senaste dataintrångState Department avslöjar dataintrång, information om anställda utsättsTechRepublic: Varför 31% av dataintrång leda till att anställda får sparkenCNET: Efter Facebook ‘ hack, det finns en massa meningslösa inlägg brott råd

Relaterade Ämnen:

Säkerhet-TV

Hantering Av Data

CXO

Datacenter

0