Gartner Mengekspos 1TB Data yang Milik Anak Perusahaan yang Dibeli pada tahun 2017
- Gartner telah meninggalkan cluster Elasticsearch pada visibilitas "publik" selama setidaknya delapan bulan.
- Bob Diachenko menemukan database dan membuat wahyu yang mengkhawatirkan tentang isinya.
- Gartner percaya bahwa data itu tidak sensitif dan mengklaim bahwa itu bersumber publik.
Peneliti Bob Diachenko telah menemukan cluster Elasticsearch yang salah konfigurasi yang berisi lebih dari 1TB data, setelah mencari di mesin Shodan dan BinaryEdge. Menurut data pelacakan, basis data dapat diakses secara publik sejak setidaknya Januari 2019 dan sepertinya milik CEB Inc, anak perusahaan dari Gartner yang berfokus pada wawasan praktik terbaik global. Gartner adalah perusahaan penasihat riset global dari Connecticut, yang fokus pada sektor TI. Setelah membeli CEB pada bulan April 2017, mereka benar-benar tidak dapat menyalahkan tim admin sebelumnya.
Tn. Diachenko menemukan database pada 14 Agustus 2019, dan segera memberi tahu Gartner. Perusahaan mengakui penerimaan pemberitahuan, mengkonfirmasi bahwa database adalah sistem warisan, mengucapkan terima kasih kepada peneliti, dan mengamankan database. Namun, dan bertentangan dengan klaim Gartner bahwa data bersumber dari publik, peneliti telah menemukan lebih dari 155 juta catatan yang berisi informasi karyawan yang sangat sensitif. Detailnya termasuk nama lengkap mereka, bio, keterampilan, catatan pekerjaan, email komunikasi, dan banyak lagi. Sepotong bukti lain bahwa ini bukan hanya sumber data publik adalah adanya kunci API yang dapat digunakan oleh pelaku jahat untuk menembus lebih jauh ke dalam jaringan perusahaan.
sumber gambar: securitydiscovery.comTidak ada bukti bahwa seseorang telah mengakses data ini, karena tidak ada penguncian data untuk pemerasan. Namun, dan mengingat periode luas dimana database ini dibiarkan terbuka untuknya, peneliti menganggap kemungkinan seseorang telah menyelidiki data ini hampir pasti. Sampai saat penulisan ini, Gartner belum mengeluarkan pernyataan resmi tentang kejadian ini dan berdasarkan pendapat mereka sebelumnya mengenai masalah ini, sepertinya mereka tidak ingin memperlakukannya sebagai sesuatu yang serius.
Sejak awal tahun, kami telah melaporkan delapan insiden basis data tanpa perlindungan yang ditemukan oleh Bob Diachenko saja. Masalah dengan kesalahan konfigurasi perlindungan basis data adalah masalah yang sepertinya tidak akan mereda dalam waktu dekat, jadi peneliti telah memutuskan untuk mengatur sesi webinar di mana ia akan menjelaskan segala hal seputar perlindungan basis data dan bagaimana para profesional harus memelihara database MongoDB, CouchDB, dan Elasticsearch. dengan tanggung jawab. Jika Anda tertarik, kirim email ke bob (at) securitydiscovery.com. Pendapat kami adalah jika Anda terlibat dalam manajemen data, Anda harus mengambil masterclass ini dan membantu mengakhiri masalah keamanan yang mengganggu ini.
Apa yang akan Anda pertimbangkan sebagai solusi pasti untuk masalah database yang tidak terlindungi? Beri tahu kami pendapat Anda di bagian komentar di bawah, atau di acara sosial kami, pada Facebook dan Twitter.
