Google «cacher» stjålne ID-opplysninger

ID-tyver låser ikke inn byttet. De lar det stå på åpne servere – der Google indekserer det.

IT-sikkerhetsselskapet Finjan skrev i begynnelsen av mars at de hadde oppdaget flere fritt tilgjengelige servere der ID-tyver lagrer sin fangst fortløpende, såkalte «krimtjenere».

For ID-tyvene er det en dyd av nødvendighet at de må, i hvert fall en kort stund, lagre eller mellomlagre stjålne data på servere som alle har fritt tilgang til: Ellers ville zombiene deres stenges ute.

En krimtjener behøver ikke være en egen server driftet av lumske mafiamenn på et hemmelig sted. Den kan like gjerne være en kompromittert tjener i din eller min bedrift, der ingen reagerer om det plutselig skulle opprettes en ny filkatalog med dynamisk innhold.

Finjan meldte 6. mai at de hadde tappet 1,4 gigabyte med data fra en slik krimtjener. Her var det 5388 loggfiler fra en rekke land – 571 fra USA, 621 fra Tyskland, 322 fra Frankrike, 308 fra India. 1037 fra Tyrkia og så videre. Loggfilene inneholdt pasientdata, bankdata og forretningsdata, og e-postmeldinger fra kaprede Outlook-konti.

I et blogginnlegg publisert søndag, bekrefter Finjan at serveren var totalt ubeskyttet.

Det innebærer at den ble fortløpende gransket og indeksert av de automatiske tjenestene til Google.

Det gjør det trivielt for uvedkommende å systematisk granske innhold på serveren, bare man kjenner til URL-en.

Trenger man brukernavn og passord til en gitt tjeneste, kan man for eksempel søke slik:

site:[krimtjener.com] password*

Er man mer opptatt av kontoopplysninger, endrer man søket til:

site:[krimtjener.com] banking

Amerikanske personnummer åpenbares gjennom:

site:[krimtjener.com] BE_SSN

I noen tilfeller hadde krimtjeneren fått overført hele bedriftsdatabaser. De er like enkelt tilgjengelig for alle:

site:[krimtjener.com] db

Dette skjermbildet sier litt om hva slags data man kan få tak i. Merk opptakene av påloggingssekvenser og tastetrykk, og at dataene er fra april i år:

Det spiller ingen rolle om krimtjeneren er nede, eller innhold derfra er overført til mer beskyttede noder.

Google har nemlig løsningen på det: «cached». De stjålne opplysningene mellomlagres i søkbar form hos Google selv, og er tilgjengelig i ukevis etter at selve serveren eller den aktuelle filen er borte.

Google er selvfølgelig en legitim tjeneste. Deres «cached»-søk er ekstremt nyttig for legitime brukere på jakt etter legitime opplysninger.

Men denne åpenhetens velsignelse har altså den følgen at hvis sensitive opplysninger først kommer på avveie, ligger de automatisk fritt tilgjengelig for hele verden i ukevis, hendig indeksert av verdens mest populære søketjeneste.

Til toppen