FitMetrix用戶數(shù)據(jù)通過無密碼的ElasticSearch服務(wù)器集群公開

一名安全研究人員發(fā)現(xiàn)，通過一組ElasticSearch服務(wù)器，F(xiàn)itMetrix用戶數(shù)量未知的數(shù)據(jù)暴露在互聯(lián)網(wǎng)上。

這些服務(wù)器沒有設(shè)置訪問密碼，允許任何知道其IP地址的人訪問大量信息，其中一些包含了FitMetrix用戶的個(gè)人數(shù)據(jù)。

根據(jù)其網(wǎng)站，F(xiàn)itMetrix是一家為健身房、工作室、企業(yè)健康項(xiàng)目和醫(yī)療保健專業(yè)人士提供心率監(jiān)測軟件的公司。該公司成立于2013年，今年早些時(shí)候被Mindbody, Inc.收購，這是另一家為健康服務(wù)行業(yè)提供大量基于云的商業(yè)管理軟件的公司。

暴露的FitMetrix服務(wù)器集群是由網(wǎng)絡(luò)安全公司Hacken的網(wǎng)絡(luò)風(fēng)險(xiǎn)研究主管鮑勃?迪亞琴科(Bob Diachenko)發(fā)現(xiàn)的。

Diachenko告訴ZDNet, ElasticSearch服務(wù)器集群——一種用于支持分布式搜索技術(shù)的技術(shù)——包含數(shù)億條數(shù)據(jù)記錄。

Diachenko告訴ZDNet，并不是所有的檔案都是客戶檔案，有些檔案還包含設(shè)施信息和其他數(shù)據(jù)點(diǎn)，但當(dāng)用戶檔案被曝光時(shí)，它們通常包含用戶的姓名、性別、出生日期、電子郵件、用戶名、身材尺寸和各種FitMetrix程序指標(biāo)。見下圖。

Diachenko告訴ZDNet，他無法確定ElasticSearch服務(wù)器集群中暴露的用戶詳細(xì)信息的確切數(shù)量，但是，服務(wù)器似乎總共包含超過119GB的數(shù)據(jù)。在證券交易委員會(huì)(SEC)的一份文件中，MindBody聲稱每月為3500多萬活躍用戶提供服務(wù)，但目前尚不清楚其中有多少人在使用其FitMetrix系統(tǒng)。

此外，研究人員還表示，服務(wù)器公開了一個(gè)API密鑰，該密鑰似乎用于管理FitMetrix服務(wù)器基礎(chǔ)設(shè)施。

最后，他還發(fā)現(xiàn)了一封勒索信，似乎是遠(yuǎn)程攻擊者寫在ElasticSearch服務(wù)器上的。這封信內(nèi)容如下:

在ElasticSearch服務(wù)器中留下的贖金信息最早出現(xiàn)在2017年1月，當(dāng)時(shí)黑客意識(shí)到他們可以將這些信息放置在暴露的服務(wù)器中，欺騙服務(wù)器所有者支付贖金。在大多數(shù)報(bào)道的案件中，攻擊者并沒有刪除或加密數(shù)據(jù)，只是希望恐嚇受害者支付贖金。

盡管如此，這張勒索紙條的存在意味著FitMetrix服務(wù)器暴露在網(wǎng)上，至少有兩個(gè)人——迪亞琴科和勒索者——掃描并發(fā)現(xiàn)了它。

上周識(shí)別了服務(wù)器的研究人員負(fù)責(zé)任地向Mindbody披露了暴露的服務(wù)器。經(jīng)過幾次與該公司聯(lián)系的失敗嘗試后，Mindbody昨天一發(fā)現(xiàn)這個(gè)問題就立即保護(hù)了服務(wù)器。

“我們最近意識(shí)到，與在線存儲(chǔ)的FitMetrix技術(shù)相關(guān)的某些數(shù)據(jù)可能已經(jīng)被公開曝光。MINDBODY的首席信息安全官Jason Loomis在一份通過電子郵件提供給ZDNet的聲明中說。

“目前的跡象表明，這些數(shù)據(jù)包括由MINDBODY于2018年2月收購的FitMetrix管理的一部分消費(fèi)者，不包括任何登錄憑證、密碼、信用卡信息或個(gè)人健康信息，”他補(bǔ)充說。

“MINDBODY非常重視客戶和消費(fèi)者數(shù)據(jù)的隱私和安全，我們將利用這一事件不斷改善我們的安全狀況?！?/p>