En Nextcloud-lekkasje eksponerte rundt 367 000 interne oppføringer etter at en feilkonfigurasjon i hostingmiljøet gjorde en Elasticsearch-database offentlig tilgjengelig. De lekkede dataene omfattet fakturaer, kontrakter, ansattinformasjon, e-poster og infrastrukturskript.

Forskere oppdaget den eksponerte databasen 18. mai. Nextcloud sikret den to dager etter å ha mottatt en ansvarlig sårbarhetsrapport. Selskapet opplyser at hendelsen ikke påvirket kundenes servere, og at de ikke har funnet tegn til at angripere fikk tilgang til dataene.

Feilkonfigurasjon i hostingmiljøet eksponerte databasen

Den eksponerte Elasticsearch-klyngen inneholdt nærmere 8 GB med interne Nextcloud-data.

Nextcloud tilbyr selvhostet skyløsning som gjør det mulig for organisasjoner å lagre filer på egen infrastruktur i stedet for hos offentlige skyleverandører. Den eksponerte databasen tilhørte imidlertid Nextclouds eget hostingmiljø og ikke kundenes installasjoner.

Ifølge selskapet skyldtes eksponeringen en feilkonfigurasjon i hostinginfrastrukturen. Nextcloud understreket samtidig at problemet ikke var knyttet til selve Nextcloud-plattformen.

Etter å ha fullført undersøkelsen meldte selskapet også hendelsen til den relevante statlige personvernmyndigheten.

Tusenvis av sensitive filer ble eksponert

Forskerne fant et stort antall interne dokumenter i databasen.

De eksponerte filene omfattet blant annet fakturaer, kontrakter, e-postmeldinger og ansattinformasjon. Forskerne fant også shell- og Python-skript som kunder bruker til å distribuere og administrere Nextcloud-miljøer.

Noen av skriptene inneholdt hardkodede databasepåloggingsopplysninger. Forskerne oppdaget også ukryptert e-postinnhold, jobbrelaterte e-postadresser, informasjon om fildeling, dokumentmetadata og MD5-hashverdier.

Flere oppføringer avslørte dessuten informasjon om kundeorganisasjoner, blant annet samarbeidsavtaler, prosjektdetaljer og omfanget av kundenes implementeringer.

Kunde- og ansattdata var en del av lekkasjen

De eksponerte fakturaene avslørte ansattes e-postadresser, kundenavn, forretningsadresser og kontaktinformasjon.

Forskerne identifiserte også e-postdomener som tilhører store hostingleverandører, blant annet IONOS og STRATO. Enkelte oppføringer viste også til tyske offentlige institusjoner, blant annet utdanningsdepartementet i Nordrhein-Westfalen.

Databasen inneholdt dessuten lister over brukere som hadde registrert seg for betafunksjoner og andre Nextcloud-integrasjoner. Disse oppføringene avslørte fullt navn og e-postadresser tilknyttet arbeidsplassen.

Nextcloud sier kundenes servere forble sikre

Nextcloud opplyser at hendelsen kun påvirket selskapets interne hostinginfrastruktur.

Selskapet sier at angriperne ikke fikk tilgang til kundenes servere, partnermiljøer eller andre brukerinstallasjoner. Undersøkelsen fant heller ingen tegn til at noen utnyttet den eksponerte databasen før selskapet sikret den.

Selv om forskerne ikke fant tegn til uautorisert tilgang, advarer de om at automatiserte skanneverktøy kontinuerlig leter etter eksponerte databaser på internett. Det betyr at andre aktører kan ha oppdaget databasen før problemet ble løst.

Forskere advarer om phishing og sikkerhetsrisiko

Nextcloud-lekkasjen kan øke risikoen for målrettede phishing-angrep mot både ansatte og kunder.

Angripere kan bruke eksponerte fakturaer, kontrakter og e-postadresser til å lage troverdige phishing-kampanjer ved å utgi seg for å være betrodde kontakter. De lekkede distribusjonsskriptene kan også hjelpe angripere med å identifisere svakheter i kundenes miljøer og dermed gjøre fremtidige angrep mer effektive.

Hendelsen viser hvordan én enkelt feilkonfigurasjon i infrastrukturen kan eksponere store mengder sensitiv forretningsinformasjon, selv når kundenes egne systemer ikke blir påvirket.


0 responses to “Nextcloud-lekkasje eksponerer 367 000 interne oppføringer etter feil i hostingmiljøet”