תומסון רויטרס – קונגלומרט מדיה רב לאומי, השאירו מסד נתונים פתוח בפורמט טקסט רגיל עם נתונים רגישים של לקוחות וחברות, כולל סיסמאות שרתים של צד שלישי. תומסון רויטרס מספקת מוצרים כגון כלי המדיה לעסקים Reuters Connect, שירות המחקר המשפטי ומסד הנתונים Westlaw, מערכת אוטומציית המס ONESOURCE, חבילת מחקר מקוונת של חומרי עריכה ומקור Checkpoint וכן כלים נוספים.
צוות מחקר של Cybernews גילה כי תומסון רויטרס השאירו לפחות שלושה ממאגרי המידע שלה נגישים לכל. אחד המופעים הפתוחים, מסד נתונים ElasticSearch בנפח 3TB, מכיל שלל מידע רגיש ועדכני מכל הפלטפורמות של החברה. החברה זיהתה את הבעיה ותיקנה אותה מיד. גודלו של מסד הנתונים הפתוח שהתגלה מתכתב עם החברה באמצעות ElasticSearch – מערך אחסון נתונים המועדף על ידי ארגונים העוסקים בכמויות נתונים נרחבות ומתעדכנות כל הזמן. השמות של מדדי ElasticSearch בתוך שרת תומסון רויטרס מצביעים על כך שהמופע הפתוח שימש כשרת רישום לאיסוף כמויות אדירות של נתונים שנאספו באמצעות אינטראקציה בין משתמש-לקוח. במילים אחרות, החברה אספה וחשפה אלפי גיגה-בייט של נתונים שלדעת חוקרי Cybernews יהיו שווים מיליוני דולרים בפורומים פליליים, בעיקר בגלל הגישה הפוטנציאלית שהם יכולים לספק למערכות אחרות.
תומסון רויטרס טוענת שמתוך שלושה שרתים ש- Cybernews עדכן לגביהם, שניים תוכננו להיות נגישים לציבור. השרת השלישי הינו שרת שאינו שרת מבצעי והוא מיועד ל"יומני יישומים בסביבת טרום-ייצור/יישום". יש לציין כי שרתים שאינם מבצעיים אינם מכילים בדרך כלל נתוני יישומים. עם זאת, אין זה אומר שהמידע המאוחסן שם פחות רגיש.
חותמות זמן על דגימות נתונים שנבדקו על ידי Cybernews מצביעות על כך שהמידע נרשם לאחרונה, כאשר חלקים מסוימים של נתונים עדכניים עד 26 באוקטובר. לדברי חוקרי הסייבר, היומנים במסד הנתונים הפתוח מכילים מידע רגיש ועלולים להוביל להתקפות שרשרת האספקה, אם האקרים קיבלו גישה אליהם. לדוגמה, מערך הנתונים הפתוח החזיק אישורי גישה לשרתים של צד שלישי. הפרטים הוחזקו בפורמט טקסט פשוט, גלוי לכל מי שזוחל דרך המופע הפתוח. לדברי Mantas Sasnauskas, ראש חקר האבטחה ב- Cybernews, מידע מסוג זה יאפשר להאקרים להשיג דריסת רגל ראשונית במערכות המשמשות חברות העובדות עם תומסון רויטרס.
ElasticSearch הוא אחסון נתונים נפוץ מאוד בשימוש נרחב והוא נוטה לתצורות שגויות, מה שהופך אותו לנגיש לכל. מופע זה השאיר נתונים רגישים פתוחים וכבר הוסף לאינדקס באמצעות מנועי החיפוש הפופולריים של IoT (האינטרנט של הדברים). הדבר מספק פלטפורמת התקפה גדולה להאקרים אשר יכולים לנצל לא רק מערכות פנימיות, אלא דרך להפעיל התקפות שרשרת האספקה.
צוות Cybernews גם מצא שהמופע הפתוח מכיל יומני כניסה ואיפוס סיסמה. למרות שלא נחשפו סיסמאות ישנות או חדשות, היומנים מציגים את כתובת הדוא"ל של בעלי החשבון וניתן לראות את השעה המדויקת שבה נשלחה שאילתת שינוי הסיסמה. פיסת מידע רגיש נוספת כוללת יומני SQL המראים איזה מידע חיפשו לקוחות תומסון רויטרס. הרשומות כוללות גם איזה מידע השאילתה החזירה. המידע כולל מסמכים בעלי מידע תאגידי ומשפטי אודות עסקים או אנשים ספציפיים. לדוגמה, עובד של חברה שבסיסה בארה"ב חיפש מידע על ארגון ברוסיה המשתמש בשירותי תומסון רויטרס, רק כדי לגלות שחברי הדירקטוריון שלו נתונים לסנקציות אמריקאיות בגלל תפקידם בפלישה לאוקראינה. הצוות גם גילה שמסד הנתונים הפתוח כלל סינון פנימי של פלטפורמות אחרות כמו יוטיוב, יומני גישה של לקוחות תומסון רויטרס ומחרוזות חיבור למאגרי מידע אחרים. החשיפה של מחרוזות חיבור מסוכנת במיוחד מכיוון שמרכיבי הרשת הפנימיים של החברה חשופים, מה שמאפשר תנועה לרוחב של האקרים ומעבר דרך המערכות הפנימיות של רויטר תומסון. קיים סיכוי גבוה שהמופע הפתוח כלל נתונים הרבה יותר רגישים מאחר ומסד הנתונים מכיל יותר מ- 6.9 מיליון יומנים ייחודיים התופסים נפח של יותר מ- 3TB בדיסק השרת. הצוות טוען שאי אפשר לדעת עד כמה גדול מערך הנתונים בפועל מבלי לחצות את הגבולות האתיים שבתוכם פועלים חוקרי הסייבר.
תומסון רויטרס פתחה בחקירה כדי למצוא את שורש הבעיה. התיאוריה המובילה עד כה היא שטעות מבודדת בסביבת המוצר הביאה לתצורה שגויה של סביבה שאינה מבצעית. כמו כן טוענת החברה שהיא החלה להודיע ללקוחות שנפגעו. חוקרי סייבר מאמינים שכל אובדן מידע ממערך הנתונים עלול להזיק לא רק לתומסון רויטרס וללקוחותיה, אלא גם להזיק לאינטרס הציבורי. לדוגמה, מסד הנתונים הפתוח הדליף נתוני סינון ותאימות רגישים של מספר אנשים וארגונים. נתונים נגישים ממסד הנתונים של תומסון רויטרס, הפונה לציבור, יכלו לחשוף גופים שהיו רוצים שהעוולות שלהם יישמרו בחשיכה. לפי Martynas Vareikis – חוקר אבטחת מידע ב- Cybernews, האקרים יכולים להשתמש בכתובות הדוא"ל שנחשפו במערך הנתונים כדי לבצע התקפות דיוג. התוקפים עלולים להתחזות לתומסון רויטרס ולשלוח ללקוחות החברה חשבוניות מזויפות.
