La plupart des organisations qui utilisent des bases de données Elasticsearch s'en servent pour stocker des informations sur les entreprises et les clients. Elles sont populaires pour les applications web car elles permettent une ingestion et une recherche faciles, ce qui facilite le développement d'applications puissantes. Comme ils contiennent souvent une multitude de données sensibles, il est essentiel que ces serveurs soient protégés de manière appropriée pour éviter les fuites de données. En novembre 2018, le chercheur en sécurité Bob Diachenko a produit un rapport sur une violation de données qui a exposé 57 millions d'enregistrements d'informations personnelles. Les données étaient stockées dans une base de données Elasticsearch, ce qui est très bien, mais le problème est que la base de données a été laissée ouverte et exposée au public sur Internet.
Quelques articles trompeurs ont été publiés, affirmant que le problème était lié à l'utilisation d'Elasticsearch lui-même, mais en réalité, les organisations propriétaires de ces serveurs n'ont pas correctement protégé ces bases de données en les plaçant sur un réseau privé ou derrière un pare-feu. Malheureusement, il s'agit d'une vieille histoire - les mesures de sécurité de base ont été ignorées et les informations privées des personnes (nom, employeur, titre du poste, courriel, adresse postale, numéro de téléphone et adresse IP) ont été divulguées à n'importe quel attaquant capable de trouver le serveur ouvert et d'y accéder sans entrave et sans trop d'efforts.
Mais attendez, ce n'est pas tout
Ce rapport de novembre 2018 n'était pas unique. En fait, à peine deux mois plus tard, en janvier 2019, Diachenko a signalé une autre violation massive qui a laissé filtrer 24 millions de dossiers de crédit et d'hypothèque. Il a affirmé que les criminels à l'origine de l'attaque auraient "tout ce dont ils ont besoin pour voler des identités, remplir de fausses déclarations de revenus et obtenir des prêts ou des cartes de crédit."
Trois autres fuites de données provenant de bases de données Elasticsearch ont eu lieu en janvier 2019. Le problème ne réside pas dans la sécurité des bases de données Elasticsearch, mais dans la manière dont ces précieuses bases de données sont sécurisées. SCMagazine a noté : "Plus tôt, quatre millions de candidatures de stagiaires du groupe de jeunes AIESEC, 108 millions de dossiers de jeu de plusieurs casinos en ligne et des millions d'appels et de textes de Voipo ont été trouvés par des chercheurs."
Mon entreprise sécurise-t-elle correctement les bases de données Elasticsearch ?
En bref, si vous pouvez les trouver sur Censys, vous ne les sécurisez pas correctement et elles sont accessibles à tout le monde sur l'internet. De manière réaliste, vous devez supposer que toutes les données que vous avez stockées dans ces bases de données ouvertes ont fait l'objet d'une fuite. Cela dit, vous devez quand même prendre des mesures pour les protéger. Et vous pouvez toujours être proactif en ce qui concerne les nouvelles bases de données que votre entreprise prévoit de créer et d'utiliser en vous assurant qu'elles se trouvent uniquement sur un réseau privé et qu'elles sont protégées par un pare-feu. D'autres conseils figurent au bas de cet article.
Pour lancer une recherche Censys sur les bases de données exposées utilisées dans votre organisation, nous vous suggérons de vérifier des adresses IP spécifiques avec l'étiquette (dans notre exemple, nous utilisons l'adresse IP de l'Université du Michigan) :
https://censys.io/ipv4?q=%28tags%3A+%22elasticsearch%22%29+AND+141.211.0.0%2F16
Vous pouvez également rechercher votre nom d'hôte spécifique, ainsi que l'étiquette :
tags: elasticsearch AND a:[yourhostname.com]
Remarque : dans Censys, vous pouvez accéder aux données suivantes à partir des serveurs de base de données Elasticsearch :
- Nom du système
- Informations sur la version du système, le type de construction, le hachage de la construction, la date de construction, la saveur de la construction
- État de santé du cluster (vert/jaune/rouge). Plus d'informations sur les évaluations d'Elasticsearch ici
- Nom du groupe
- Taille du système de fichiers du cluster en octets, libre en octets, disponible en octets
- Toutes les informations relatives à chaque nœud - rôles, système d'exploitation, version de la machine virtuelle Java (JVM), plugins installés, processeurs d'acquisition.
Merde, nous avons trouvé des bases de données Elasticsearch exposées sur Internet
Respirez profondément. D'accord, déplacez ces bases de données exposées vers votre réseau privé et placez-les derrière un pare-feu. Elasticsearch a fourni une liste très utile de conseils pour prévenir les accès non autorisés et de méthodes de sécurité pour le cryptage des données et le contrôle/audit approprié.
Travaillez maintenant avec votre équipe rouge, si vous en avez une, pour déterminer les dommages potentiels d'une fuite de données. Vous pouvez poser les questions suivantes : "De quel type d'informations s'agit-il ? Les données stockées dans cette base de données sont-elles particulièrement sensibles ? Exposent-elles nos clients, nos partenaires ou nos consommateurs ?"
Si vous répondez par l'affirmative à l'une de ces questions, demandez-vous si vous devez divulguer la fuite de manière responsable à toutes les parties concernées. Assurez-vous que vous suivez le protocole de votre organisation pour de telles divulgations, ce qui implique généralement de travailler avec votre équipe juridique, les responsables de la sécurité et d'autres groupes.
Si vous n'avez trouvé aucune base de données exposée, poussez un soupir de soulagement, préparez une tasse de café et recherchez d'autres fruits à portée de main dont vous et votre équipe ne soupçonnez peut-être pas l'existence, par exemple des serveurs utilisant l'ancien protocole TLS ou (haletant) SSL. Abonnez-vous à notre blog pour obtenir d'autres idées sur la façon d'utiliser les données Censys pour protéger votre organisation.
