Acht miljoen bestanden gelekt uit Elasticsearch-database

Acht miljoen bestanden liggen op straat door een configuratiefout in de Elasticsearch-database van AavGo, een cloud-based softwareleverancier voor de hotelindustrie. De verkeerd geconfigureerde database bevatte informatie over hotelgasten en interne bestanden van hotels, meldt SiliconAngle.

Daniel Brown, een beveiligingsonderzoeker van WizCase, onthulde miljoenen bestanden in de database die onvoldoende beveiligd was. De cliënten van AavGo werden niet onthuld, maar volgens de website van de leverancier zijn onder andere Best Western International, Crowne Plaza en Days Inn klant. De database is na de ontdekking direct offline gehaald.

Volgens Brown is de oorzaak van het gebrek aan beveiliging van de database een slordige fout: “De reden is dat er een Elasticsearch-engine is geïnstalleerd op deze server waarop geen enkel authenticatiemechanisme geactiveerd was. De server zelf is direct toegankelijk op internet, dus de data was voor iedereen open om in te zien – deze server bevatte logs van productiesystemen, en dus een hoop gevoelige informatie.”

Eerdere problemen met Elasticsearch

In januari eerder dit jaar werd er al een andere Elasticsearch-database ontdekt die niet goed geconfigureerd was. Ongeveer 24 miljoen financiële documenten lagen bloot in een database die gebruikt werd door Ascension, een data-analysebedrijf. Daarvoor, in november, lagen al 57 miljoen bestanden op straat uit een vergelijkbare database van Data & Leads Inc.

Volgens SiliconAngle komt dit soort datalekken vaak voor doordat ontwikkelaars en engineers van cloudservices zoals die van AavGo vaak te snel werken. Daardoor kunnen cruciale stappen in de beveiliging vergeten worden, stelt Chris DeRamus, chief technology officer bij cybersecuritybedrijf DivvyCloud Corp.: “Het onbeschermd achterlaten van servers lijkt eenvoudig te vermijden, maar steeds meer bedrijven hebben te maken met datalekken als gevolg van misconfiguraties, en we lezen er bijna elke dag over in het nieuws. De waarheid is dat het organisaties ontbreekt aan de juiste tools om onveilige softwareconfiguraties en -implementaties consequent te identificeren en te verhelpen.”