Informações pessoais de mais de 1 bilhão de cidadãos chineses foram expostas devida a má-configuração de uma instalação do Kibana/Elasticsearch; dados foram sequestrados e posteriormente colocados à venda em fórum na dark web.
No início deste mês de julho, uma notícia reverberou na internet e causou comoção na comunidade internacional de segurança cibernética. Um criminoso cibernético identificado simplesmente como “ChinaDan” colocou à venda, no fórum Breach Forums, uma coleção contendo dados de mais de 1 bilhão de cidadãos chineses — o arquivo em questão possuía um peso total de 23 TB. Quem estivesse disposto a desembolsar 10 bitcoins (aproximadamente USD 200 mil em jul/22) poderia desfrutar da biblioteca, que incluiria nomes, endereços, local de nascimento, números de identificação, números de celular e registros policiais.
E, por falar em registros policiais, o que mais chocou em tal caso é o fato de que o cibercriminoso afirmou, em sua publicação (hoje apagada), que a base de dados havia sido furtada diretamente da Polícia de Xangai, maior cidade da República Popular da China. Uma amostra do vazamento foi disponibilizada gratuitamente pelo internauta misterioso e a autenticidade das informações foi confirmada por diversos veículos jornalísticos, que chegaram a contatar alguns dos cidadãos e confirmar que os registros eram verdadeiros. É impossível saber, porém, se os 23 TB, na íntegra, são compostos por dados legítimos.
Se a resposta for positiva, trata-se de um dos maiores vazamentos de dados de todos os tempos, perdendo apenas para os incidentes do Yahoo! (2017) e do CAM4 (2020), que expuseram, respectivamente, 3 bilhões de contas e 10,8 bilhões de registros. O mais preocupante é que, após uma rápida análise do caso, pesquisadores independentes logo concluíram que a exposição só ocorreu por conta do aparente despreparo da polícia chinesa — as informações teriam sido extraídas da interface Kibana de uma instalação desprotegida do Elasticsearch, revelando uma má-configuração de ambientes na nuvem.
A culpa é de quem?
Antes de prosseguirmos, vale a pena explicar o que é Elasticsearch e Kibana para aqueles que não estejam familiarizados com tais nomes. Desenvolvido com base no Apache Lucene, o Elasticsearch é uma solução de indexação, busca e análise de informações, sendo amplamente utilizado em servidores na nuvem para facilitar a pesquisa de dados textuais, numéricos, geoespaciais, estruturados e não-estruturados. Trata-se de uma ferramenta bastante versátil e que pode ser empregada para diversas finalidades no campo de big data, incluindo análise de logs, monitoramento de performance e assim por diante.
Contudo, usar o Elasticsearch para analisar uma grande quantidade de dados não é lá uma tarefa simples, visto que ele não possui uma interface gráfica. E é por isso que existe o Kibana, um plugin oficial que pode ser instalado em qualquer cluster Elasticsearch e lhe provê uma forma bem mais amigável de visualizar o seu data lake. Esta extensão é capaz de transformar toda a “bagunça” em gráficos de barra, linha, pizza, dispersão e de vários outros formatos que você possa imaginar — tudo de maneira interativa e simples, no intuito de facilitar a vida de quem vai cuidar dessa base de dados.
O problema é que, como qualquer outro recurso em nuvem, a segurança de uma instalação Elasticsearch (com ou sem uma interface Kibana) depende unicamente das configurações aplicadas pelo administrador do sistema. Se os recursos de proteção não forem devidamente implementados, qualquer internauta que possua a URL da instalação poderá visualizar, baixar e até mesmo apagar dados com facilidade. E, como bem sabemos, existem diversas ferramentas gratuitas na internet que lhe permitem fazer varreduras na web em busca dessas “portas abertas”.
Erro atrás de erro
Foi exatamente isso o que aconteceu com a Polícia de Xangai. De acordo com os responsáveis pela plataforma LeakIX, que foi desenvolvida justamente para monitorar a web e indexar informações públicas em servidores abertos, os dados roubados por ChinaDan estavam expostos em uma instalação Kibana pela porta 5601 — que é a utilizada por padrão quando a ferramenta é implementada. O endpoint de acesso também era o padrão apontado em instalações na Alibaba Cloud (kibana.elasticsearch.aliyuncs.com), líder em soluções de infraestrutura-como-serviço no país asiático.
É importante ressaltar dois detalhes aqui. Primeiramente, a própria documentação do Alibaba Cloud deixa bem claro que, ao instalar o Elasticsearch em seus servidores, ele será configurado com uma combinação padronizada de login “elastic” e senha “elastic”, sendo responsabilidade do usuário alterar tais credenciais. Como se isso não bastasse, temos um segundo problema ainda mais grave: a versão do stack tecnológico Elastic + Kibana instalada era a 5.5.3, lançada em 2017 e extremamente defasada. Para fins de comparação, atualmente, já estamos na compilação 8.3.3. Em resumo, tal incidente só ressalta aquilo que já sabemos: ainda há um déficit de profissionais capacitados para operar infraestruturas na nuvem de forma adequada e segura — e isso não se limita ao setor privado, sendo também um problema no setor público. Eis a importância de garantir o devido preparo antes de abraçar tal tecnologia que, embora seja altamente valiosa, também pode simbolizar riscos à privacidade e à proteção de informações sigilosas caso não seja utilizada da maneira.
–
–
A Agility oferece uma solução gerenciada completa de Gestão Avançada de Ameaças, saiba mais em: https://somosagility.com.br/xaas/gestao-avancada-de-ameacas/