您的位置: 首頁(yè) >游戲 >

FitMetrix用戶數(shù)據(jù)通過無密碼的ElasticSearch服務(wù)器集群公開

2022-08-20 00:15:30 編輯:祿英韋 來源:
導(dǎo)讀 一名安全研究人員發(fā)現(xiàn),通過一組ElasticSearch服務(wù)器,F(xiàn)itMetrix用戶數(shù)量未知的數(shù)據(jù)暴露在互聯(lián)網(wǎng)上。這些服務(wù)器沒有設(shè)置訪問密碼,允許任何...

一名安全研究人員發(fā)現(xiàn),通過一組ElasticSearch服務(wù)器,F(xiàn)itMetrix用戶數(shù)量未知的數(shù)據(jù)暴露在互聯(lián)網(wǎng)上。

這些服務(wù)器沒有設(shè)置訪問密碼,允許任何知道其IP地址的人訪問大量信息,其中一些包含了FitMetrix用戶的個(gè)人數(shù)據(jù)。

根據(jù)其網(wǎng)站,F(xiàn)itMetrix是一家為健身房、工作室、企業(yè)健康項(xiàng)目和醫(yī)療保健專業(yè)人士提供心率監(jiān)測(cè)軟件的公司。該公司成立于2013年,今年早些時(shí)候被Mindbody, Inc.收購(gòu),這是另一家為健康服務(wù)行業(yè)提供大量基于云的商業(yè)管理軟件的公司。

暴露的FitMetrix服務(wù)器集群是由網(wǎng)絡(luò)安全公司Hacken的網(wǎng)絡(luò)風(fēng)險(xiǎn)研究主管鮑勃?迪亞琴科(Bob Diachenko)發(fā)現(xiàn)的。

Diachenko告訴ZDNet, ElasticSearch服務(wù)器集群——一種用于支持分布式搜索技術(shù)的技術(shù)——包含數(shù)億條數(shù)據(jù)記錄。

Diachenko告訴ZDNet,并不是所有的檔案都是客戶檔案,有些檔案還包含設(shè)施信息和其他數(shù)據(jù)點(diǎn),但當(dāng)用戶檔案被曝光時(shí),它們通常包含用戶的姓名、性別、出生日期、電子郵件、用戶名、身材尺寸和各種FitMetrix程序指標(biāo)。見下圖。

Diachenko告訴ZDNet,他無法確定ElasticSearch服務(wù)器集群中暴露的用戶詳細(xì)信息的確切數(shù)量,但是,服務(wù)器似乎總共包含超過119GB的數(shù)據(jù)。在證券交易委員會(huì)(SEC)的一份文件中,MindBody聲稱每月為3500多萬活躍用戶提供服務(wù),但目前尚不清楚其中有多少人在使用其FitMetrix系統(tǒng)。

此外,研究人員還表示,服務(wù)器公開了一個(gè)API密鑰,該密鑰似乎用于管理FitMetrix服務(wù)器基礎(chǔ)設(shè)施。

最后,他還發(fā)現(xiàn)了一封勒索信,似乎是遠(yuǎn)程攻擊者寫在ElasticSearch服務(wù)器上的。這封信內(nèi)容如下:

在ElasticSearch服務(wù)器中留下的贖金信息最早出現(xiàn)在2017年1月,當(dāng)時(shí)黑客意識(shí)到他們可以將這些信息放置在暴露的服務(wù)器中,欺騙服務(wù)器所有者支付贖金。在大多數(shù)報(bào)道的案件中,攻擊者并沒有刪除或加密數(shù)據(jù),只是希望恐嚇受害者支付贖金。

盡管如此,這張勒索紙條的存在意味著FitMetrix服務(wù)器暴露在網(wǎng)上,至少有兩個(gè)人——迪亞琴科和勒索者——掃描并發(fā)現(xiàn)了它。

上周識(shí)別了服務(wù)器的研究人員負(fù)責(zé)任地向Mindbody披露了暴露的服務(wù)器。經(jīng)過幾次與該公司聯(lián)系的失敗嘗試后,Mindbody昨天一發(fā)現(xiàn)這個(gè)問題就立即保護(hù)了服務(wù)器。

“我們最近意識(shí)到,與在線存儲(chǔ)的FitMetrix技術(shù)相關(guān)的某些數(shù)據(jù)可能已經(jīng)被公開曝光。MINDBODY的首席信息安全官Jason Loomis在一份通過電子郵件提供給ZDNet的聲明中說。

“目前的跡象表明,這些數(shù)據(jù)包括由MINDBODY于2018年2月收購(gòu)的FitMetrix管理的一部分消費(fèi)者,不包括任何登錄憑證、密碼、信用卡信息或個(gè)人健康信息,”他補(bǔ)充說。

“MINDBODY非常重視客戶和消費(fèi)者數(shù)據(jù)的隱私和安全,我們將利用這一事件不斷改善我們的安全狀況?!?/p>


免責(zé)聲明:本文由用戶上傳,如有侵權(quán)請(qǐng)聯(lián)系刪除!

最新文章

精彩推薦

圖文推薦

點(diǎn)擊排行

2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082   備案號(hào):閩ICP備19027007號(hào)-6

本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。