原文:How I accidentally found a huge data leak during a college lecture ? ? ? ?
譯者:杰微刊兼職翻譯劉曉鵬
作者:Sijmen Ruwhof
幾個星期以前,我給荷蘭的溫德斯海姆應用科學大學(Windesheim University of Applied Sciences)做了一個客座演講。我畢業于溫德斯海姆應用科學大學,并與之前的導師一直保持聯系。最近,有一個導師告訴我,很多學生想了解更多的關于信息安全和黑客相關的知識,所以邀請我去做一次客座演講。當然可以!為了讓演講更生動有趣,我在我的演講加入了一個黑客攻擊的演示。
當我開始演示時,我請同學們說出一個公司的名字,然后我來對該公司的的安全進行審查,我覺得這樣會更有趣。然后我發現,接下來的結果讓我非常吃驚,為了保護公司的安全,我不得不改變演示的方向。
攻擊聯合利華(HackingUnilever)?
其中,一個學生提到了聯合利華,在荷蘭這是一個眾所周知的公司,所以我覺得審查這家公司的安全性將是件很酷的事情。當然,是在法律允許的范圍內。我開始對聯合利華網站的HTTP頭進行分析,隨后,我打開了Shodan網(是一款強大到能夠搜索全球所有聯網設備的搜索引擎公司,甚至包括服務器、網絡攝像頭、打印機、路由器等)。
Shodan網搜索聯合利華的結果
Shodan是黑客的一大搜索引擎。它掃描絕大部分連接到互聯網的設備和服務,并創建一個數字地圖。我鍵入“聯合利華”,得到幾個結果。第一個搜索結果立即引起了我的注意:
顯然,它有一個未受保護的數據庫連接到互聯網上,并且有相當多的數據在里面(13.2GB!),而在這些數據中,“聯合利華”一詞出現了。哦,我的天啦!這個黑客攻擊演示真的存在!我從來沒想過要結束這方面的信息!Shodan網從數據庫索引的具體內容是什么?
我點擊詳細信息按鈕,Shodan網給了我一些更多的信息:
我發現這個MonggoDB服務器至少包含兩個數據庫,它們分別名為uniever和uniever_test。我覺得這可能真的很危險,我決定中斷聯合利華的黑客演示。不要教你的學生太多!;-)
善后:我是否應該報告該安全漏洞?
兩個星期后的現在,它覺得有讓這個未受保護的數據庫連接到互聯網是不對的。聯合利華甚至可能都沒有意識到他們整個數據庫服務器都沒有配置密碼。我真的應該幫助他們解決這個安全漏洞。所以,我開始更加深入的挖掘并進行評估。
連接到數據庫
數據庫服務器的MongoDB正在運行,為了驗證Shodan網發現的結果,我需要連接到MongoDB服務器的軟件。我沒有安裝MongoDB客戶端,所以我在谷歌上搜索MongoDB客戶端,第四結果引導我安裝一個叫做MongoVue的客戶端,安裝后打開軟件,然后點擊連接按鈕:
然后,我填寫Shodan網給我的IP地址:
然后點擊保存按鈕。在下一個屏幕上,我只點擊鏈接按鈕,看看將會發生什么:
看起來我現在好像已經可以不受限制地訪問該服務器中的37個數據庫了!
天啦!
這看起來聯合利華貌似不是唯一受此安全漏洞影響的公司。這是一個更大的問題!我需要找到聯系人,以便準確地解決這個問題,因此,我點擊數據庫表來查找更多的信息。這個數據庫沒有配置用戶名和密碼來保護它,所以,我認為這是一個公共數據庫;-)
然而在數據庫中,我發現了個人的詳細信息,諸如姓名,電子郵件地址和私人的聊天記錄。我不準確的確定到底有多少數據泄密。但是,這些信息不應該在互聯網中完全不受保護!數據庫服務器出現了與多個會議演示有關的事情。遺憾的是,乍看起來,我找不到更多的線索來判斷這數據庫屬于誰。
注:在上面的屏幕截圖中你能看到安裝的是MongoDB2.6.7版本。這是一個過時的版本,它包含一個中等的拒絕服務安全風險。
回到Shodan網
聯合利華不是報告這個問題的公司,因為他們僅只是一個受害者。所以,我返回到Shodan,看看是否能找出更多有用的易受攻擊的服務器的信息。
快速查看MySQL服務器
它看起來好像是另一個能在網上公開訪問的數據庫(MySQL)。目前尚不清楚它是否具有密碼配置。不管怎么樣,只要有一個可以直接通過互聯網訪問的數據庫服務器,安全性就算很差的。
知道MySQL版本號(5.6.21)后,我仔細的進行觀察,注意到它包含幾個安全漏洞:
其中有一個漏洞甚至到了CVSS 7.5的評級!這意味著他是一個高安全風險,應立即修補。當我在尋找服務器的所有者時,我沒有將我的研究擴展到MySQL服務器。
訪問相應服務器的網站
我離開了那個特定的數據庫服務器,然后訪問連接的網站(服務器廣播TCP端口為80端口):
顯然,高技術性的數據,關于(代理)服務器的狀態是對外公開的。從安全的角度來看,這種機密的信息決不應該發表。
檢索域名所有權信息
從上述結果中查看域名[已刪除].is-savvy.nl,我認為對于尋找該域名所有者的信息(通過whois命令)來說,這是一個很好的起點:
以上數據并沒有給我更進一步的信息。由于域名以.nl結束,進一步的詳細信息只能通過請求訪問SIDN網站。SIDN網站維護管理.nl域名。這是他們關于is-savvy.nl的記錄:
啊哈,現在我們取得了一些進展!擁有者是是Savvy Congress。
訪問Savvy Congress的網站
我訪問他們的網站,并立即注意到他們開發的軟件可以在會議中使用。例如與觀眾聊天:
這是有意義的。我注意到聊天記錄都與會議相關,所以我十分肯定他們使用的是MongoDB作為數據庫服務器軟件。
Shodan網搜索更脆弱的數據庫服務器
我很好奇,看看Savvy Congress是否有更脆弱MongoDB服務器,我Shodan網搜索savvy。從結果中提取了以下信息:
這13個數據庫(總計156.6 GB)都有沒有密碼配置,能夠自由訪問。11個數據庫在同一個IP地址范圍(x.x.238.*)內,IP地址是遞增的。
執行Nmap
我不知道Shodan網是否在互聯網的索引服務有進一步的努力,所以我執行了Nmap命令來快速掃描端口,看在IP范圍內是否能夠找到這11個脆弱的服務器中有更多MongoDB服務器的信息:
幸運的是,我找不到更多的服務器,所以,Shodan的索引要做得相當好:-)
聯系Savvy Congress
因為我現在知道數據庫服務器是沒有保護的,也知道有什么安全影響——是時候聯系所有者揭示我收集的情報了。在2016年4月15日,我兩次打電話給Savvy Congress,但不幸的是,兩次都被“防火墻”接待。所以我給只好他們寄去了我的調查結果。
第二天,我得到了一個友好的答復,他們說,這些服務器的確是開放的,但是他們是一個舊的開發集群的一部分。他們還送給我一件漂亮的T恤來表示對我揭示之一漏洞的感激:
如果脆弱的服務器實際上是開發機器,而我看到的生產數據可能是從從生產環境中復制到開發數據庫中的。這不是一個明智的舉動,因為這些運行環境通常都比生產系統更加不安全。
最后,末尾的兩個不安全的托管MongoDb數據庫IP地址(x.x.148.216和x.x.43.136),不屬于Savvy Congress。
尋找其他業主
我發現在x.x.43.136 的6.6 GB的數據庫屬于Droisys。LinkedIn表示,他們公司有246到500名雇員在金融部門工作。數據庫可能用于交易和價格。不能真的確定它到底是什么。我找到了數據庫中的幾個droisys電子郵件地址,并決定用這些地址來通知他們:他們的數據庫暴露在互聯網上了。遺憾的是,我還沒有收到任何答復。因為我沒有收到電子郵件的回復,我發郵件的地址應該依然存在。是droisys忽略我了嗎?
最后的話
公司往往不掃描他們互聯網基礎設施的安全漏洞,就不會意識到他們是多么的脆弱。所以在我的工作中經常會發出一些不幸的警告。
你只能希望他們被一個在他們的安全狀況方面投入了時間和精力的友好黑客聯系上,并且在網絡罪犯到來之前通知他們存在漏洞。
另外,如果你使用MongoDB數據庫,請使用一個安全性高的密碼,并把它放在防火墻后面;-)謝謝!
顯著事件的時間線
本文鏈接的網站
1.NOS.nl
2.Softpedia.com
3.Sisteminformasi.biz
4.Hacker News
5.Silicon.fr
6.Reddit.com
7.OpenQuery.com.au
告訴大家一個好消息,我們搞了一個"搶樓大戰活動",每天都有大紅包送出,有興趣的親可以關注喲~活動真實有效!
