健身軟體公司FitMetrix 119GB使用者資料被爆可直接訪問
據外媒ZDNet報道,大量FitMetrix使用者的個人資料被國際網路安全諮詢公司Hacken的網路風險研究總監Bob Diachenko發現通過一組ElasticSearch伺服器暴露在了網路上,所包含資料的總大小超過119GB。
根據Diachenko的說法,他是在本月5日通過Shodan搜尋引擎發現這組ElasticSearch服務的,無需密碼即可檢視資料。這也就意味著,任何知道該伺服器IP地址的人都可以隨意訪問大量的FitMetrix使用者個人資料。
根據FitMetrix官網顯示的資訊,它是一家為健身房、工作室、企業健康計劃和醫療保健專業人士提供心率監測軟體的公司。該公司成立於2013年,在今年早些時候已經被總部位於美國加州聖路易斯奧比斯波的另一家健身房軟體開發公司Mindbody收購。
Diachenko告訴ZDNet,FitMetrix通過這臺伺服器暴露的不僅限於使用者個人資料,還包括一些有關設施和其他資料點的資訊。具體來講,主要涉及的資訊包括使用者姓名、性別、出生日期、電子郵箱地址、使用者名稱、身高體重,以及各種FitMetrix計劃指標。
Diachenko還告訴ZDNet,雖然能夠確定這組伺服器至少包含了119GB的資料,但他無法確定具體受影響的FitMetrix使用者數量。從MindBody提交給美國證券交易委員會的檔案來看,該公司聲稱每月活躍使用者超過3500萬,但尚不清楚其中有多少人正在使用由FitMetrix開發的軟體。
此外,Diachenko還表示,這組伺服器還暴露了一個似乎用於管理FitMetrix伺服器基礎架構的API金鑰。不僅如此,Diachenko還在伺服器上發現了一封勒索信,似乎是由遠端攻擊者留下的,內容如下:
"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"
根據Diachenko的說法,這封勒索信創建於2017年1月份。雖然攻擊者很可能只是想通過恐嚇來勒索贖金,但這也意味著現在至少已經有兩個人發現了這組線上暴露的伺服器——Bob Diachenko和這名攻擊者。是否還有其他人發現,以及資料是否已經被洩露,尚不清楚。
在發現該伺服器之後,Diachenko曾多次試圖與Mindbody取得聯絡,但均沒有成功。不過,從目前的情況來看,Mindbody似乎已經意識到了這個問題,因為這組伺服器已經不再能夠被公開訪問。
“我們最近意識到,與線上儲存的FitMetrix技術相關的某些資料可能已被暴露,而我們已經採取了措施來解決這個問題。”MINDBODY首席資訊保安官Jason Loomis在回覆給ZDNet的電子郵件中表示,“目前的跡象表明,這些資料的確包含了由FitMetrix管理的消費者資訊,這些資料已經於2018年2月被Mindbody收購,但並不包括任何登入憑證、密碼、信用卡資訊或個人健康資訊。”
Loomis還表示,Mindbody會嚴肅對待客戶和消費者隱私和資料的安全,並將通過此次事件不斷改善其安全現狀。
宣告:本文來自黑客視界,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。