据外媒ZDNet报道,大量FitMetrix用户的个人资料被国际网络安全咨询公司Hacken的网络风险研究总监Bob Diachenko发现通过一组ElasticSearch服务器暴露在了网络上,所包含数据的总大小超过119GB。
根据Diachenko的说法,他是在本月5日通过Shodan搜索引擎发现这组ElasticSearch服务的,无需密码即可查看数据。这也就意味着,任何知道该服务器IP地址的人都可以随意访问大量的FitMetrix用户个人资料。
根据FitMetrix官网显示的信息,它是一家为健身房、工作室、企业健康计划和医疗保健专业人士提供心率监测软件的公司。该公司成立于2013年,在今年早些时候已经被总部位于美国加州圣路易斯奥比斯波的另一家健身房软件开发公司Mindbody收购。
Diachenko告诉ZDNet,FitMetrix通过这台服务器暴露的不仅限于用户个人资料,还包括一些有关设施和其他数据点的信息。具体来讲,主要涉及的信息包括用户姓名、性别、出生日期、电子邮箱地址、用户名、身高体重,以及各种FitMetrix计划指标。
Diachenko还告诉ZDNet,虽然能够确定这组服务器至少包含了119GB的数据,但他无法确定具体受影响的FitMetrix用户数量。从MindBody提交给美国证券交易委员会的文件来看,该公司声称每月活跃用户超过3500万,但尚不清楚其中有多少人正在使用由FitMetrix开发的软件。
此外,Diachenko还表示,这组服务器还暴露了一个似乎用于管理FitMetrix服务器基础架构的API密钥。不仅如此,Diachenko还在服务器上发现了一封勒索信,似乎是由远程攻击者留下的,内容如下:
"ALL YOUR INDEX AND ELASTICSEARCH DATA HAVE BEEN BACKED UP AT OUR SERVERS, TO RESTORE SEND 0.1 BTC TO THIS BITCOIN ADDRESS 14ARsVT9vbK4uJzi78cSWh1NKyiA2fFJf3 THEN SEND AN EMAIL WITH YOUR SERVER IP, DO NOT WORRY, WE CAN NEGOCIATE IF CAN NOT PAY"
根据Diachenko的说法,这封勒索信创建于2017年1月份。虽然攻击者很可能只是想通过恐吓来勒索赎金,但这也意味着现在至少已经有两个人发现了这组在线暴露的服务器——Bob Diachenko和这名攻击者。是否还有其他人发现,以及数据是否已经被泄露,尚不清楚。
在发现该服务器之后,Diachenko曾多次试图与Mindbody取得联系,但均没有成功。不过,从目前的情况来看,Mindbody似乎已经意识到了这个问题,因为这组服务器已经不再能够被公开访问。
“我们最近意识到,与在线存储的FitMetrix技术相关的某些数据可能已被暴露,而我们已经采取了措施来解决这个问题。”MINDBODY首席信息安全官Jason Loomis在回复给ZDNet的电子邮件中表示,“目前的迹象表明,这些数据的确包含了由FitMetrix管理的消费者信息,这些数据已经于2018年2月被Mindbody收购,但并不包括任何登录凭证、密码、信用卡信息或个人健康信息。”
Loomis还表示,Mindbody会严肃对待客户和消费者隐私和数据的安全,并将通过此次事件不断改善其安全现状。
声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。