Dow Jones Watchlist via verkeerd ingestelde server gelekt
De Dow Jones Watchlist, die volgens het Amerikaanse bedrijf door acht van de tien grootste banken wordt gebruikt voor het beoordelen van risicovolle personen en bedrijven, was door een verkeerd geconfigureerde server voor iedereen op internet zonder wachtwoord toegankelijk.
Dat meldt beveiligingsonderzoeker Bob Diachenko in een blogposting. Via een openbare Elasticsearch-cluster vond Diachenko de dataset van de Watchlist. Elasticsearch is zoekmachinesoftware voor het indexeren van allerlei soorten informatie en Elasticsearch-databases kunnen terabytes aan gegevens bevatten. De informatie die de onderzoeker aantrof was voor iedereen toegankelijk.
Banken gebruiken de Watchlist om risico's te identificeren en voor onderzoek. De dataset bevatte 2,4 miljoen records met "politically exposed persons", hun familieleden en naaste medewerkers, nationale en internationale sanctielijsten, personen die wegens ernstige misdrijven veroordeeld zijn en profielnotities van Dow Jones, die mede afkomstig zijn van bronnen bij opsporingsdiensten en federale instanties.
"Het bevatte de identiteiten van overheidsfunctionarissen, politici en mensen met politieke invloed in elk deel van de wereld", merkt Diachenko op. De onderzoeker waarschuwde Dow Jones, dat de gegevens op dezelfde dag nog beveiligde. Volgens het bedrijf was het datalek veroorzaakt door een misconfiguratie van een Amazon-server door een derde partij.
Datalek?
De dienst is niet uit de lucht gegaan. De gegevens betroffen zo te zien een collectie van wat elders al openbaar was. De watchlist functioneert als een gecategoriseerde zoekmachine. Alsof wat je vindt met google altijd een datalek behelst.
Iemand wat meer over de achterliggende gegevens?
Ik zie niet in wat dit met free open source te maken heeft. Het is net zoiets als zeggen dat de zaak gewoon open laten staan de enige manier is om met foss een datalek te krijgen.
Ik zie niet in wat dit met free open source te maken heeft. Het is net zoiets als zeggen dat de zaak gewoon open laten staan de enige manier is om met foss een datalek te krijgen.
Het eerste zegt iets over de informatie. klik over door naar de link in het artikel, dar staat: "This data is entirely derived from publicly available sources." Met de sources gaat het zeker niet over code programmatuur.
Het geval met de opensource applicatie in dit geval "elastic search".
Als het dogma gehanteerd wordt dat je met 'open source applicaties' niets aan security en betrouwbaarheid hoeft te doen dan krijg je dit als resultaat. Het is niet dat de oorzaak 'open source' de oorzaak is maar de houding die er me gepaard gaat.
Diachenko https://thehackernews.com/2019/01/mongodb-chinese-database.html en je hebt mongo-db
https://securityaffairs.co/wordpress/81368/intelligence/china-facial-recognition-abuse.html Victor Gevers
Citaat: " … I've been exploring the Chinese internet for 2 weeks. I am just baffled how everything is open and unprotected everything is. Remarkable for a country that claims they get hacked all the time"
Wat die Gevers ook te pakken had is een mongo-db open op het internet van CGNPC. Het heeft geen aandacht gekregen. Je moet eens nagaan wat er achter zit. Als je dacht dat het allemaal opzettelijk open gezet wordt is dat wel he teken dat het eerde gemak en onwetendheid is.
Ik zie niet in wat dit met free open source te maken heeft. Het is net zoiets als zeggen dat de zaak gewoon open laten staan de enige manier is om met foss een datalek te krijgen.
Er is kennelijk een verwarring aan het ontstaan over "open data" en "open source code".
Het eerste zegt iets over de informatie. klik over door naar de link in het artikel, dar staat: "This data is entirely derived from publicly available sources." Met de sources gaat het zeker niet over code programmatuur.
Kennelijk besef je niet dat jij deze verwarring zelf hebt gecreëerd (zie de VOLLEDIGE quote hierboven - bold van mij)! Dus corrigeer jezelf (oh, dat deed je al).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
