Dow Jones Watchlist via verkeerd ingestelde server gelekt
De Dow Jones Watchlist, die volgens het Amerikaanse bedrijf door acht van de tien grootste banken wordt gebruikt voor het beoordelen van risicovolle personen en bedrijven, was door een verkeerd geconfigureerde server voor iedereen op internet zonder wachtwoord toegankelijk.
Dat meldt beveiligingsonderzoeker Bob Diachenko in een blogposting. Via een openbare Elasticsearch-cluster vond Diachenko de dataset van de Watchlist. Elasticsearch is zoekmachinesoftware voor het indexeren van allerlei soorten informatie en Elasticsearch-databases kunnen terabytes aan gegevens bevatten. De informatie die de onderzoeker aantrof was voor iedereen toegankelijk.
Banken gebruiken de Watchlist om risico's te identificeren en voor onderzoek. De dataset bevatte 2,4 miljoen records met "politically exposed persons", hun familieleden en naaste medewerkers, nationale en internationale sanctielijsten, personen die wegens ernstige misdrijven veroordeeld zijn en profielnotities van Dow Jones, die mede afkomstig zijn van bronnen bij opsporingsdiensten en federale instanties.
"Het bevatte de identiteiten van overheidsfunctionarissen, politici en mensen met politieke invloed in elk deel van de wereld", merkt Diachenko op. De onderzoeker waarschuwde Dow Jones, dat de gegevens op dezelfde dag nog beveiligde. Volgens het bedrijf was het datalek veroorzaakt door een misconfiguratie van een Amazon-server door een derde partij.
Datalek?
De dienst is niet uit de lucht gegaan. De gegevens betroffen zo te zien een collectie van wat elders al openbaar was. De watchlist functioneert als een gecategoriseerde zoekmachine. Alsof wat je vindt met google altijd een datalek behelst.
Iemand wat meer over de achterliggende gegevens?
Ik zie niet in wat dit met free open source te maken heeft. Het is net zoiets als zeggen dat de zaak gewoon open laten staan de enige manier is om met foss een datalek te krijgen.
Ik zie niet in wat dit met free open source te maken heeft. Het is net zoiets als zeggen dat de zaak gewoon open laten staan de enige manier is om met foss een datalek te krijgen.
Het eerste zegt iets over de informatie. klik over door naar de link in het artikel, dar staat: "This data is entirely derived from publicly available sources." Met de sources gaat het zeker niet over code programmatuur.
Het geval met de opensource applicatie in dit geval "elastic search".
Als het dogma gehanteerd wordt dat je met 'open source applicaties' niets aan security en betrouwbaarheid hoeft te doen dan krijg je dit als resultaat. Het is niet dat de oorzaak 'open source' de oorzaak is maar de houding die er me gepaard gaat.
Diachenko https://thehackernews.com/2019/01/mongodb-chinese-database.html en je hebt mongo-db
https://securityaffairs.co/wordpress/81368/intelligence/china-facial-recognition-abuse.html Victor Gevers
Citaat: " … I've been exploring the Chinese internet for 2 weeks. I am just baffled how everything is open and unprotected everything is. Remarkable for a country that claims they get hacked all the time"
Wat die Gevers ook te pakken had is een mongo-db open op het internet van CGNPC. Het heeft geen aandacht gekregen. Je moet eens nagaan wat er achter zit. Als je dacht dat het allemaal opzettelijk open gezet wordt is dat wel he teken dat het eerde gemak en onwetendheid is.
Ik zie niet in wat dit met free open source te maken heeft. Het is net zoiets als zeggen dat de zaak gewoon open laten staan de enige manier is om met foss een datalek te krijgen.
Er is kennelijk een verwarring aan het ontstaan over "open data" en "open source code".
Het eerste zegt iets over de informatie. klik over door naar de link in het artikel, dar staat: "This data is entirely derived from publicly available sources." Met de sources gaat het zeker niet over code programmatuur.
Kennelijk besef je niet dat jij deze verwarring zelf hebt gecreëerd (zie de VOLLEDIGE quote hierboven - bold van mij)! Dus corrigeer jezelf (oh, dat deed je al).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.