安全研究人员发现，大量的FitMetrix用户的数据通过一组ElasticSearch服务器暴露在互联网上。登录该服务器不需要密码，且其允许任何知道其IP地址的人访问大量信息，其中一些信息包含FitMetrix用户的个人数据。

FitMetrix是一家为健身房、工作室、企业健康计划和医疗保健专业人士提供心率监测软件的公司。该公司成立于2013年，今年早些时候被Mindbody收购，Mindbody是一家为健康服务行业提供大量云业务管理软件的公司。

FitMetrix已经暴露了数百万客户的记录，因为他们的云服务器完全开放。在公共访问被关闭之前，网络犯罪分子就访问了数据库。研究人员表示无法确定ElasticSearch服务器中公开的用户详细信息的确切数量，但该数据库大概包含119GB数据和两个不同的索引：platformaudit中的记录总数为122,869,970; fitmetrixaudit的记录总数为113,521,722。当安全人员在10月5日找到该数据库时，无需密码或登录即可查看数据。

并非所有客户资料都有，有些还是有关设施和其他数据点的信息。但被曝光的用户信息包括姓名、性别、电子邮件、出生日期、紧急联系人信息以及联系人与客户的关系、昵称、鞋码、身高体重、Facebook账号、手机号码、家庭电话号码和活动级别。

 

此外，研究人员还表示，服务器公开了一个似乎用于管理FitMetrix服务器基础架构的API密钥。不仅如此，研究人员还发现了远程攻击者留在ElasticSearch服务器上的一封勒索信，内容如下：

 

ElasticSearch服务器内部留下的勒索信息于2017年1月首次出现，当时黑客意识到他们可以将这些消息放入暴露的服务器中并诱骗服务器所有者支付赎金。在大多数以前的案例中，攻击者并没有删除或加密数据，只是用此来吓唬受害者，让他们支付赎金。

尽管如此，这份勒索信息的存在意味着FitMetrix服务器上曝光的信息至少被两个人知道—-发现这一漏洞的研究人员和勒索者。

上周发现该被暴露的服务器的研究员将该问题报告给了Mindbody，在几次尝试与公司取得联系失败之后，Mindbody在昨天意识到这个问题后立即关闭了服务器。

Mindbody首席信息安全官表示；“我们最近意识到，与在线存储的FitMetrix技术相关的某些数据可能已被曝光。我们已经采取措施关闭来此漏洞。目前的迹象表明，这些数据包括由FitMetrix管理的消费者信息的一部分，该数据于2018年2月被Mindbody收购，但并不包括任何登录凭证，密码，信用卡信息或个人健康信息。Mindbody严肃对待客户和消费者隐私和数据的安全，我们将利用此事件不断改善我们的安全状况。”

配置错误的AWS云存储实例引起的数据泄露已变得非常普遍，多得数不胜数。例如，今年8月，全球最大的域名注册机构GoDaddy就因此泄露了其机密信息，泄露的配置信息包括主机名、操作系统、“工作负载”（系统干什么用的）、AWS区域、内存和CPU规格等更多信息。显然，大部分组织机构并没有从过去的其他错误中吸取教训。

虽然利用这种数据的潜在威胁需要蓄意破坏的不法分子，但通过配置错误的存储服务泄露这些数据却不需要。如果及时发现和修复错误配置的运作意识和流程没有到位，从GoDaddy和亚马逊这些大型公司到中小企业，使用云技术的任何人都面临无意泄露数据的风险。无论是主数据中心的资产，还是托管在第三方系统上的资产，数字供应链中的所有环节都要具有弹性，以保护数据。