Egy izraeli marketing cég adatbázisához bárki hozzáférhetett volna

Szerencsére csak volna, hiszen @0m3n San Diego-i biztonsági szakértő előbb felfedezte a hibát, mint hogy bárki kihasználta volna azt.

Egy izraeli marketing cég, a Straffic teljes adatbázisa bárki által elérhető volt egy ideig. Az adatbázis 49 millió európai és amerikai ember érzékeny információt tartalmazott, úgy mint, email címeket, neveket, nemüket, telefonszámokat és címeket; a teljes mérete 140 GB volt.

Képernyőkép a kiszivárgott adatbázisban szereplő rekordokról

Az adatbázis egy külső, rosszul konfigurált Elasticsearch szerveren volt. Igaz, korábbi hasonló szivárgásokkal ellentétben, ezúttal jelszóval védve volt az adatbázis, ám az egy plaitext fájlban volt tárolva, ami egy másik domainről elérhető és megnyitható volt.

A cég közölte, hogy a problémát azóta orvosolták, így már nem használható ki a hiba. Az adatszivárgást, Troy Hunt, a Have I Been Pwned megalkotója is megerősítette, és a kiszivárgott email címeket hozzáadta az adatbázisához.

Forrás