FitMetrix gegevens van de gebruiker blootgesteld via passwordless ElasticSearch server cluster

0
17

Nul

Gegevens voor een onbekend aantal FitMetrix gebruikers was kwetsbaar op het Internet via een cluster van ElasticSearch servers, een security-onderzoeker heeft ontdekt.

De servers, die niet zijn beveiligd met een wachtwoord, mag iedereen weten hun IP adres om toegang te krijgen tot een schat aan informatie, waarvan sommige met daarin de persoonlijke gegevens van FitMetrix gebruikers.

Volgens haar website, FitMetrix is een bedrijf dat de hartslag monitoring software voor sportscholen, studio ‘s, corporate wellness programma’ s, en professionals in de gezondheidszorg. Het bedrijf werd opgericht in 2013 en eerder dit jaar heeft verworven door Mindbody, Inc., een ander bedrijf dat een grote catalogus van cloud-based business management software voor de wellness-sector.

De blootgestelde FitMetrix server cluster werd ontdekt door Bob Diachenko, Directeur van de Cyber Risico-Onderzoek op cyber-security bedrijf Hacken.

Diachenko vertelde ZDNet de blootgestelde ElasticSearch server-cluster-een technologie die wordt gebruikt voor het aandrijven van distributed search-technologie– bevatte honderden miljoenen records.

Niet alle klant-profielen, en sommige bevatten ook informatie over voorzieningen en andere gegevens punten, Diachenko vertelde ZDNet, maar wanneer de gebruiker records werden blootgesteld, zijn ze meestal opgenomen de naam van de gebruiker, geslacht, geboortedatum, e-mail, gebruikersnaam, lichaamsgrootte maatregelen, en diverse FitMetrix programma-indicatoren. Zie de afbeelding hieronder.

fitmetrix.jpg
Bob Diachenko

Diachenko vertelde ZDNet hij was niet in staat om te bepalen van het exacte aantal van de details van de gebruikers die worden blootgesteld in de ElasticSearch server-cluster, maar in totaal is met de servers bleek te bevatten over 119GB van gegevens. In een SEC-filing, MindBody beweerde te dienen meer dan 35 miljoen maandelijks actieve gebruikers, maar het is onduidelijk hoeveel van deze zijn met behulp van de FitMetrix systeem.

Bovendien, de onderzoeker zegt ook de servers blootgesteld een API-sleutel die leek te worden gebruikt voor het beheren van de FitMetrix server infrastructuur.

Laatste maar niet de minste, hij ontdekte ook een losgeld opmerking die lijkt te zijn geschreven in de ElasticSearch servers door een aanvaller op afstand. Dit bericht was als volgt:

“AL UW INDEX EN ELASTICSEARCH GEGEVENS BACK-UP HEBT gemaakt OP ONZE SERVERS TE HERSTELLEN VERZENDEN 0.1 BTC VOOR DIT BITCOIN ADRES 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 STUUR DAN EEN e-MAIL MET UW SERVER IP -, maak je GEEN ZORGEN, WE KUNNEN NEGOCIATE ALS het NIET KAN BETALEN”

Ransom notes links in ElasticSearch servers zijn voor het eerst te zien in januari 2017, wanneer hackers besefte ze konden plaatsen van dergelijke berichten binnen blootgesteld servers en truc server eigenaren in het betalen van losgeld. In de meeste gevallen gemeld, aanvallers niet wissen of versleutelen van gegevens, maar alleen hoopte te schrikken van een slachtoffer in het betalen van het losgeld eisen.

Toch is de aanwezigheid van dit losgeld opmerking betekent dat de FitMetrix server was kwetsbaar online genoeg om te worden gescand en ontdekt door ten minste twee personen –Diachenko en de ransomer.

De onderzoeker, die de server vorige week, op verantwoorde wijze bekendgemaakt blootgesteld servers Mindbody. Na verscheidene mislukte pogingen om in contact te komen met het bedrijf, Mindbody beveiligde servers zodra ze werden bewust gemaakt van het probleem van gisteren.

“We hebben onlangs werd bekend dat bepaalde gegevens die verband houden met FitMetrix technologie die online zijn opgeslagen kunnen zijn in het openbaar bloot. We namen onmiddellijk de nodige stappen om het sluiten van deze kwetsbaarheid,” zei Jason Loomis, MINDBODY Chief Information Security Officer, in een verklaring verstrekt aan ZDNet via e-mail.

“De huidige indicaties zijn dat deze gegevens opgenomen in een subset van de consumenten beheerd door FitMetrix, die werd overgenomen door MINDBODY in februari 2018, en bevat geen inloggegevens, wachtwoorden, creditcard gegevens of persoonlijke medische informatie,” voegde hij eraan toe.

“MINDBODY neemt de privacy en veiligheid van onze klant en consument gegevens serieus en zullen wij de invloed van deze incidenten voor het continu verbeteren van onze security-houding.”

Vorige en aanverwante dekking

Noord-Korea APT38 hacken van de groep achter de bank heists van meer dan $100 miljoenDHS de hoogte van lopende APT-aanvallen op cloud service providersCanadese restaurant keten lijdt land-breed uitval na malware-uitbraakGwinnett Medisch Centrum onderzoekt mogelijke schending van de beveiligingFacebook kon het gezicht van $1.63 bn fijn onder de GDPR over de meest recente gegevens van schendingvan het State Department blijkt inbreuk op gegevens, gegevens van een werknemer blootgesteldTechRepublic: Waarom 31% van de inbreuken leiden tot werknemers ontslagenCNET: Na Facebook hack, er is een hoop nutteloze post-schending advies

Verwante Onderwerpen:

Beveiliging TV

Data Management

CXO

Datacenters

0