Digest di Sicurezza del Database – Ottobre 2018
Per favore, dai un’occhiata ai più grandi incidenti di sicurezza del database di ottobre 2018.
FitMetrics
Una delle principali società di software per il fitness potrebbe aver esposto milioni di account dei loro clienti contenenti informazioni personali. È successo a causa di una mancata protezione del loro database cloud.
I ricercatori dicono di aver trovato il database Elasticsearch esposto ospitato su AWS utilizzando una tecnica molto semplice. L’archivio cloud contiene 119 GB di dati appartenenti alla società FitMetrics. I ricercatori hanno anche trovato una nota di riscatto allegata al database, anche se sembra che i tentativi di hacking non abbiano avuto successo. E ora il database è esposto e non protetto. I dati esposti includevano nome, genere, indirizzo email, data di nascita, telefono di casa e lavoro, altezza, peso e molto altro. Il numero totale di record interessati è di milioni. Il database è stato nuovamente protetto dalla società cinque giorni dopo.
Cathay Pacific
Un’altra compagnia aerea, nello specifico Cathay Pacific, è caduta vittima di una grave violazione dei dati. È stato riportato che i dati di 9,4 milioni di passeggeri potrebbero essere stati rubati. La compagnia aerea ha dichiarato di aver trovato tracce di accesso non autorizzato al suo sistema IT contenente molte informazioni personali sensibili, principalmente dei suoi clienti.
I dati personali esposti contengono quanto segue: nome del passeggero; nazionalità; data di nascita; numero di telefono; email; indirizzo; numero di passaporto; numero di iscrizione al programma frequent flyer; commenti del servizio clienti e informazioni storiche sui viaggi. La compagnia aerea afferma che nessuna informazione sulle carte bancarie è stata divulgata. Non si sa ancora come sia stato effettuato l’attacco hacker, ma la società sta contattando tutti i passeggeri interessati fornendo loro informazioni sui passi da intraprendere per proteggersi.
Gli esperti di sicurezza informatica dicono che dopo un attacco hacker di successo ci saranno ulteriori tentativi di hackerare nuovamente il sistema, e questi potrebbero essere nuovamente vincenti.
Pocket iNet
Il team di cyber-risk UpGuard ha trovato un server AWS S3 esposto online. Il server appartiene al fornitore di servizi Internet dello Stato di Washington, Pocket iNet. L’azienda ha lasciato il suo server senza password e praticamente chiunque poteva vedere cosa c’era all’interno dei loro database. Le informazioni esposte includevano 73 gigabyte di dati scaricati. I dati includevano password e altre informazioni sensibili, che andavano dai fogli di calcolo alle immagini e ai diagrammi. Ci è voluta circa una settimana a Pocket iNet per mettere in sicurezza i dati esposti.
I fornitori di servizi Internet, essendo parte dell’Infrastruttura Critica degli Stati Uniti, sono di particolare interesse per i gruppi di minaccia degli stati nazionali avversi. Si riferisce che la configurazione errata di AWS di Pocket iNet è la ragione di questa esposizione dei dati. Il problema della configurazione errata di AWS, sfortunatamente, non è raro e non dipende dalle dimensioni di una società.
Aggiornamenti di sicurezza per database
Oracle
https://nvd.nist.gov/vuln/detail/CVE-2018-3277https://nvd.nist.gov/vuln/detail/CVE-2018-3278
https://nvd.nist.gov/vuln/detail/CVE-2018-3279
https://nvd.nist.gov/vuln/detail/CVE-2018-3280
https://nvd.nist.gov/vuln/detail/CVE-2018-3281
https://nvd.nist.gov/vuln/detail/CVE-2018-3282
https://nvd.nist.gov/vuln/detail/CVE-2018-3283
https://nvd.nist.gov/vuln/detail/CVE-2018-3284
https://nvd.nist.gov/vuln/detail/CVE-2018-3285
https://nvd.nist.gov/vuln/detail/CVE-2018-3286
MS SQL Server
https://nvd.nist.gov/vuln/detail/CVE-2018-3251https://nvd.nist.gov/vuln/detail/CVE-2018-3174
https://nvd.nist.gov/vuln/detail/CVE-2018-3156
https://nvd.nist.gov/vuln/detail/CVE-2018-3143
https://nvd.nist.gov/vuln/detail/CVE-2018-3133
https://nvd.nist.gov/vuln/detail/CVE-2018-8533
https://nvd.nist.gov/vuln/detail/CVE-2018-8532
https://nvd.nist.gov/vuln/detail/CVE-2018-8527
Amazon Athena
https://nvd.nist.gov/vuln/detail/CVE-2016-10152Google Cloud SQL
https://nvd.nist.gov/vuln/detail/CVE-2018-1819https://nvd.nist.gov/vuln/detail/CVE-2018-15755
https://nvd.nist.gov/vuln/detail/CVE-2018-0404
Apache Impala
https://nvd.nist.gov/vuln/detail/CVE-2018-11792https://nvd.nist.gov/vuln/detail/CVE-2018-11785
https://nvd.nist.gov/vuln/detail/CVE-2017-9792