Een cybersecurity-onderzoeker heeft een onbeveiligde Elasticsearch-database ontdekt met miljoenen inloggegevens.
Dat meldt Wired. Jeremiah Fowler stuitte op het systeem op 6 mei. Gewoonlijk is het volgens Fowler mogelijk om aan de hand van de inhoud van zo’n database te achterhalen wie de beheerder is, maar dat lukte in dit geval niet. Hij vermoedt dat de database is aangemaakt door cybercriminelen om via malware verkregen gegevens in op te slaan.
De database bevatte in totaal 184 miljoen records en besloeg 47 gigabyte aan opslagruimte. Deze gegevens bestonden uit inloggegevens van miljoenen gebruikersaccounts.
Bij het analyseren van een steekproef van 10.000 records trof Fowler onder andere de gegevens aan van meer dan 850 gebruikers van Google en Facebook, evenals honderden accounts van Roblox, Discord, Microsoft, Netflix en PayPal. Ook zaten er gebruikersnamen en wachtwoorden tussen van tal van andere populaire diensten.
In diezelfde steekproef kwamen 220 e-mailadressen voor die eindigen op .gov, afkomstig van overheidsinstanties uit ten minste 29 landen, waaronder de VS, het Verenigd Koninkrijk en Australië.
Open-source zoekmachine
De database draaide op Elasticsearch, een populaire open-source zoekmachine die gebaseerd is op Apache Lucene en bekendstaat om zijn schaalbaarheid. Hoewel Elasticsearch geen traditionele databasefunctionaliteiten biedt zoals ACID-ondersteuning, een techniek die dataverlies voorkomt bij systeemfouten, kan het dienen als opslagmedium voor gegevens waarop gezocht wordt. Wel zijn er beveiligingsopties beschikbaar om te voorkomen dat de data openbaar toegankelijk is.
Fowler legde aan Macworld uit dat hij verschillende methodes inzet om kwetsbare databases op te sporen, waaronder het gebruik van zoekmachines voor IoT. Deze diensten brengen internetverbonden apparaten in kaart en verzamelen technische gegevens zoals IP-adressen.
Het is niet duidelijk waar de gegevens in de Elasticsearch-database precies vandaan kwamen, maar Fowler ontdekte wel dat deze draaide op servers van het Britse hostingbedrijf World Host Group. Na zijn melding heeft het bedrijf de database offline gehaald.
Volgens Wired draaide de database op een onbeheerde server, volledig in handen van de klant. De CEO van World Host Group, Seb de Lemos, verklaarde dat het lijkt alsof een malafide gebruiker zich heeft aangemeld en illegale inhoud heeft geüpload. De server is inmiddels offline gehaald en het juridische team onderzoekt welke informatie eventueel van nut kan zijn voor de autoriteiten.