Een datalek bij Thomson Reuters, het moederbedrijf van de nieuwsorganisatie, in ElasticSearch-databases heeft meer dan 3 TB gevoelige bedrijfs- en klantendata openbaar gemaakt. Dit ontdekten securityonderzoekers van Cybernews.

Volgens de onderzoekers was de toegang tot de betreffende ElasticSearch-databases van Reuters geheel openbaar. De servers bevatten een aantal databases waarin Thomson Reuters zeer gevoelige informatie had opgeslagen die veel werd geraadpleegd. ElasticSearch databases worden vaak gebruikt voor het opslaan van grote hoeveelheden data die constant aan verandering onderhevig zijn.

In de databases vonden de onderzoekers naast informatie over bedrijven en individuele personen, ook bijvoorbeeld wachtwoorden in plain-tekst voor servers van andere partijen en vooral ook logging data van user-client interacties. Andere informatie die werd aangetroffen waren interne screenings van platforms als YouTube, de toegangslogs van klanten van Reuters en connectie-strings met andere databases en login- en wachtwoord-reset logs.

Misconfiguratie

De Cybernews-onderzoekers constateerden dat de fout waarmee de betreffende servers met de databases werden opengezet, recent van aard is. De mogelijke oorzaak, zo geven de onderzoekers aan, ligt in een misconfiguratie op de AWS Elastic Load Balancing-dienst. Hierbij zouden verschillende regels zijn gevolgd die niet waren geconfigureerd om alle toegangscontroleregels toe te passen. Hierdoor werd de dienst openbaar.

Mogelijk grote gevolgen

Het datalek kan, gezien de grote hoeveelheid gevoelige data, grote gevolgen hebben. De servers stonden enige dagen open en konden op die manier worden opgepikt door kwaadaardige bots die het internet afstruinen op interessante data. Populaire IoT search engines zouden de databases, inmiddels natuurlijk gesloten, hebben gedetecteerd.

Gezien de aard van de data, kan deze worden ingezet voor onder meer voor geavanceerde social engineering-aanvallen, ransomware-aanvallen en andere aanvalsvectors zoals supply-chain-aanvallen.   

Reactie Thomson Reuters

In een reactie geeft Thomson Reuters aan dat de openstaande servers inmiddels weer zijn afgeschermd. De zakelijke nieuwsuitgever geeft aan dat het openstaan van de servers minder gevaarlijk is dan Cybernews aangeeft. Twee van de getroffen servers waren bestemd op publiek toegankelijk te zijn.

De derde openstaande server was volgens Thomson Reuters een server die voor ‘applicatie logs van een pre-productie/implementatie-omgeving’ was bedoeld. Volgens de experts van Cybernews hoeft in dit laatste geval het niet de betekenen dat een dergelijke server geen gevoelige informatie bevat. Volgens de onderzoekers is er op dit soort servers toch altijd wel enige vorm van gevoelige data te vinden.

Tip: Potentieel groot Microsoft-datalek door misconfiguratie