درباره شرکت هوندا
از سال ۲۰۱۵، شرکت هوندا هشتمین شرکت تولیدکنندهی بزرگ اتومبیل در جهان است. این شرکت دارای ارزش تقریبی ۴۶/۸ میلیارد دلار است. شعبات متعددی از هوندا در سرتاسر جهان ازجمله ژاپن، آمریکا، انگلیس، مکزیک و دیگر کشورها وجود دارد.
بیانیهی صادرشده از سوی هوندا
«ایراد امنیتی موردنظر میتوانست به اشخاص خارجی اجازه دسترسی به اطلاعات مبتنی بر Cloud شرکت هوندا را که شامل اطلاعات کارکنان و رایانههای آنهاست، بدهد. طبق تحقیقات انجامشده روی گزارشهای دسترسی سیستم، هیچگونه اثری از بارگیری اطلاعات توسط اشخاص بیگانه وجود ندارد. در حال حاضر شواهدی مبنی بر درز اطلاعات وجود ندارد. ما مطابق با قوانین و مقررات مربوطه، اقدامات لازم را انجام خواهیم داد و به اقدامات پیشگیرانه امنیتی برای جلوگیری از بروز حوادث مشابه در آینده ادامه خواهیم داد.»
پیشزمینه
طبق اسکن انجامشده توسط موتور جستجوی Shodan بر روی آدرس IP مربوطه، به نظر میرسد که این پایگاه داده، احتمالاً از اول ژوئیه ۲۰۱۹ توسط عموم در دسترس بوده است.
حجم دادهها چقدر است؟
پایگاه داده ElasticSearch مربوط، تقریباً حاوی ۱۳۴ میلیون سند با حجم حدودی۴۰ گیگابایت است.
دادههای موجود در پایگاه داده، مربوط به ۳/۵ ماه اخیر است. قدیمیترین دادهها به مارس ۲۰۱۹ بازمیگردند.
طبق مشاهدات انجامشده در طول ۱ ماه، هرروز، حدود ۴۰ هزار داده گسسته به پایگاه داده اضافهشده است. یک تغییر نامعمول در تعداد دادههای اضافهشده در اواسط مارس ۲۰۱۹ دیده میشود که موردبررسی قرار نگرفت. با توجه به اینکه این پایگاه داده، از ۱۳اُم مارس برخط شده است، به نظر میرسد که این الگو مربوط به اضافه کردن دادههای اولیه به پایگاه داده باشد.
چه اطلاعاتی در دسترس قرار داشت؟
در ابتدا به نظر میرسید که دادهها تنها مربوط به یکی از نمایندگیهای هوندا است. با بررسی بیشتر، بهسرعت مشخص شد که این یک مجموعهی داده بسیار گستردهتر است، که شامل دادههای مربوط به رایانههای تمام کارمندان شبکهی سراسری شرکت هوندا است.
به نظر میرسد مقدار “empty string” در فیلد “company” مربوط به دفاتر هوندا در کشور ژاپن است. چون بخش عمدهای از دادهها مربوط به کارمندان این کشور بود؛ امّا همانطور که مشاهده میشود، دفاتر چندین کشور دیگر نیز در بین دادهها درجشدهاند.
چند نکته کوتاه
قبل از پرداختن به اینکه چه اطلاعاتی در دسترس قرار داشت، به علت حساس بودن این اطلاعات خواهیم پرداخت. آنچه این اطلاعات را بهویژه در دست یک مهاجم خطرناک میکند این است که دقیقاً نقاط ضعف را به شما نشان میدهند. بهراحتی میتوان فهمید که خدمات امنیتی آنها مربوط به کدام سازنده است و همچنین کدام دستگاهها نرمافزار امنیتی فعال و بهروزی دارند.
به نظر میرسد این دادهها به شما نشان میدهد که کدام دستگاهها دارای مکانیسمهای امنیتی نیستند، کدامشان سیستمعاملهای قدیمیتری دارند و اگر آسیبپذیری خاصی مدنظر داشته باشید، میتوان بهسرعت با استفاده از این دادهها به جستجوی دستگاههایی بپردازید که هنوز وصلهی امنیتی نخوردهاند. همانطور که در تصاویر بعدی خواهید دید، این دادهها حاوی اطلاعات شفاف کافی هستند تا بتوان بهراحتی کارمندان عالیرتبه (مدیرعامل، مدیر مالی، مدیر فروش و …) این شرکت را مکانیابی کرد. یک مهاجم، با استفاده ازایندست اطلاعات، میتواند با تحتنظرگرفتن مدیران شرکت، اقدام به انجام حملات هدفمند نماید.
یکی از جداول دادهای، فهرستی از ماشینهایی را ارائه میدهد که نرمافزار امنیتی ندارند (با توجه به نحوهی نامگذاری جدول و دادههای داخل آن). این اطلاعات به مهاجم احتمالی این امکان را میدهد که دستگاهی با کمترین احتمال شناسایی/دفع حمله را برای نفوذ به هوندا انتخاب کند. این “ماشینهای کنترل نشده” میتوانند دری برای نفوذ به کل شبکهی شرکت باشند.
با توجه به درخواست شرکت هوندا، اطلاعات حساس در تصاویر زیر پوشیده شدهاند.
جدول “ad_com_all”
این جدول شامل اطلاعاتی همچون نام کارمند، نام رایانه میزبان، نوع سیستمعامل و نسخه سیستمعامل است. تقریباً ۳۰۰ هزار داده، در هر بار بهروزرسانی به پایگاه داده اضافهشده است.
جدول “ad_user_all”
این جدول شامل اطلاعاتی همچون آدرس ایمیل کارمند، نام کارمند، دپارتمان، آخرین ورود به سیستم، کد پرسنلی، نام حساب کاربری و شماره موبایل است. تقریباً ۳۰۰ هزار داده، در هر بار بهروزرسانی به پایگاه داده اضافهشده است.
جدول “comterminal”
این جدول شامل اطلاعاتی نظیر ایمیل کارمند، دپارتمان، آدرس IP دستگاه، آدرس mac، نام رایانه میزبان، سیستمعامل، نوع دستگاه، وضعیت نرمافزار امنیتی و وصلههای امنیتی اعمالشده بر روی دستگاه است. تقریباً ۴۰ هزار داده، در هر بار بهروزرسانی به پایگاه داده اضافهشده است.
جدول “nwcomteminal_data”
این جدول همانند جدول “comterminal” شامل اطلاعاتی مانند آدرس IP دستگاه، آدرس mac، نام رایانه میزبان و وصلههای امنیتی اعمالشده بر روی دستگاه، است.
جدول “dhcp_data”
این جدول شامل شمارهی اموال هر دستگاه و آدرس mac آن دستگاه است. فیلد “EA-LastModifiedBy” دارای نامهای کاربری است که به نظر میرسد مربوط به کارمندانی که ادمین این دستگاهها هستند، باشد.
جدول “printer_data”
اطلاعات این جدول شامل نام چاپگرها و آدرس IP داخلی آنهاست. تقریباً ۲۵۰۰ داده، در هر بار بهروزرسانی به پایگاه داده اضافهشده است.
جدول نرمافزارهای امنیتی دستگاهها
نام دقیق این جدول برای جلوگیری از افشای نام شرکت ارائهدهندهی خدمات امنیتی، آورده نشده است. این جدول شامل نام کاربری کارمند و نرمافزار امنیتی موجود بر روی دستگاه است. تقریباً ۹۰ هزار داده، در هر بار بهروزرسانی به پایگاه داده اضافهشده است.
جدول “uncontrolledmachine”
میتوان حدس زد که این جدول شامل نام رایانهی میزبان و سیستمعامل دستگاههایی است که توسط نرمافزار امنیتی نظارت نمیشوند. برخی از نامهای کاربری نیز موجود هستند. تقریباً ۳ هزار داده، در هر بار بهروزرسانی به پایگاه داده اضافهشده است.
این یک جدول جدا در پایگاه داده نیست؛ بلکه ستونهایی از جدول “ad_com_all” است که اطلاعات مهمی را در دسترس یک مهاجم قرار میدهند. این تصویر، نام رایانه میزبان، نام کاربری، تاریخ آخرین ورود، تاریخ ایجاد، آخرین تاریخ تغییر، سیستمعامل، نسخهی سیستمعامل را نشان میدهد.
اطلاعات کامپیوتر شخصی مدیرعامل هوندا
تصویر زیر، نام کامل، آدرس ایمیل کامل، دپارتمان، آدرس mac، سیستمعامل، نسخهی سیستمعامل، وضعیت نرمافزار امنیتی، آدرس IP، نوع دستگاه و اینکه کدام وصلههای امنیتی بر روی دستگاه مدیرعامل اعمالشدهاند را نشان میدهد.
تصویر زیر، نام کامل مدیرعامل، تاریخ آخرین ورود به سیستم، شناسهی کارمندی، ایمیل، دپارتمان، نام مستعار ایمیل و نام حساب کاربری را نشان میدهد.
پس از انتشار این گزارش شرکت هوندا اقدامات لازم برای حفاظت از داده های شرکت را انجام و داده ها از دسترس عموم خارج شد.
مطالب مرتبط:
سرورهای Elasticsearch اطلاعات شخصی بیش از ۵۷ میلیون نفر را افشاء کردند
بدافزار جدید ElasticSearch را به باتنت DDoS تبدیل می کند
MongoDB و افشای اطلاعات ۶۶ میلیون کاربر
منبع: Rainbowtabl.es
