Lundi, BreachTrace a notifié MBIA inc. — le plus grand assureur obligataire du pays — qu’une mauvaise configuration du serveur Web d’une entreprise avait exposé d’innombrables numéros de comptes clients, soldes et autres données sensibles. Une grande partie des informations avait été indexée par les moteurs de recherche, y compris une page répertoriant les informations d’identification administratives que les attaquants pouvaient utiliser pour accéder à des données qui n’étaient pas déjà accessibles via une simple recherche sur le Web.
MBIA Inc., basée à Purchase, NY, est une société de portefeuille publique qui offre des produits d’assurance des obligations municipales et de gestion des investissements. Selon la page Wiki de l’entreprise, MBIA, anciennement connue sous le nom de Association d’assurance des obligations municipalesa été créée en 1973 pour diversifier les participations de plusieurs compagnies d’assurance, dont Etna, Caisse des pompiers, Voyageurs, Cigna et Continental.
Informée de la violation, la société a rapidement désactivé le site vulnérable — mbiaweb.com. Cette propriété Web contenait des données client de Gestion des actifs de Cutwaterune unité à revenu fixe de MBIA qui est destiné à être acquis par BNY Mellon Corp.
« Nous avons été informés que certaines informations relatives aux clients de la filiale de gestion d’actifs de MBIA, Cutwater Asset Management, pourraient avoir été consultées illégalement », a déclaré le porte-parole de MBIA. Kévin Brun. « Nous menons une enquête approfondie et prendrons toutes les mesures nécessaires pour protéger les données de nos clients, sécuriser nos systèmes et conserver les preuves pour les forces de l’ordre. »
Brown a déclaré que MBIA avait informé tous les clients actuels de l’incident lundi soir et qu’il prévoyait d’informer les anciens clients aujourd’hui.
Quelque 230 pages de relevés de compte de Cutwater avaient été indexées par Google, y compris les numéros de compte et d’acheminement, les soldes, les dividendes et les noms des titulaires de compte pour le CLASSE texane (un pool d’investissement des collectivités locales) ; la Pool de gestion d’actifs de la Louisiane; la Pool d’investissement de dépôt public du New Hampshire; Connecticut CLASSE Plus; et la ville de Richmond, NH.
Dans certains cas, le les documents indexés par les moteurs de recherche contenaient des instructions détaillées sur la façon d’autoriser de nouveaux comptes bancaires pour les dépôts, y compris les formulaires et les numéros de fax nécessaires pour soumettre les informations de compte.
Bryan Seeleyun expert en sécurité indépendant avec Sécurité Seely, a découvert les données exposées à l’aide d’un moteur de recherche. Seely a déclaré que les données avaient été exposées grâce à un logiciel mal configuré Rapports Oracle serveur de base de données. Normalement, a déclaré Seely, ce type de serveur de base de données est configuré pour fournir des informations uniquement aux utilisateurs autorisés qui accèdent aux données à partir d’un réseau privé de confiance – et certainement pas ouvert sur le Web.
Pire encore, a noté Seely, cette mauvaise configuration a également exposé une page de diagnostic des rapports Oracle qui comprenait le nom d’utilisateur et le mot de passe qui donneraient accès à presque toutes les données du compte client sur le serveur.
« Des pirates informatiques malveillants trouvent des dizaines d’universités ou d’entreprises avec des numéros de sécurité sociale, des données de santé ou d’autres informations sont dévastateurs, mais tomber sur des comptes bancaires et les instructions pour les vider est potentiellement catastrophique », a déclaré Seely. «Des milliards de fonds des contribuables, investis dans l’une des plus grandes institutions au monde qui étaient essentiellement gardées par un agent de sécurité endormi. Qu’arrive-t-il à ces États lorsque l’argent disparaît ? »
Un serveur de rapports Oracle mal configuré peut exposer d’énormes quantités de données sensibles, un fait documenté maintes et maintes fois par un autre chercheur indépendant — Dana Taylor de NI @root. Si votre organisation dépend d’Oracle Reports Services, assurez-vous que vos administrateurs ont lu et mis en œuvre Les conseils d’Oracle sur la sécurisation de ces systèmes.
La divulgation accidentelle des données des clients de MBIA survient au milieu des révélations selon lesquelles des pirates étrangers – peut-être des groupes criminels organisés opérant hors de Russie – piraté les réseaux de JPMorgan Chase. Dans dépôts publics La semaine dernière, JPMorgan a déclaré que la violation avait révélé les noms, adresses, adresses e-mail et numéros de téléphone de 76 millions de comptes de ménages et de sept millions de petites entreprises. Cependant, JPMorgan a déclaré qu’il n’y avait aucune indication que les numéros de compte aient été exposés lors de l’effraction.
Mise à jour, 15 h 03 HE : Mise à jour des premier et deuxième paragraphes pour préciser que la Municipal Bond Insurance Association est un ancien nom de MBIA Inc.