Elasticsearch 27億數(shù)據(jù)泄露:10億明文 波及中國大廠
掃描二維碼
隨時(shí)隨地手機(jī)看文章
上次,有媒體報(bào)道了Elasticsearch服務(wù)器12億個(gè)人數(shù)據(jù)遭泄露的事件,你們都說好怕怕。
但是,泄露這事真的沒有上限。
又是讓人無語的Elasticsearch服務(wù)器,不到兩周時(shí)間,新一輪的數(shù)據(jù)泄露事件便再度發(fā)生。這次,研究人員在不安全的云存儲(chǔ)桶中,總共發(fā)現(xiàn)了27億個(gè)電子郵件地址、10億個(gè)電子郵件賬戶密碼,以及一個(gè)裝載了近80萬份出生證明副本的應(yīng)用程序。
研究人員稱,過去一年里,一些企業(yè)無意識(shí)得讓他們的Amazon Web服務(wù)S3和基于云計(jì)算的ElasticSearch存儲(chǔ)桶暴露出來。它們沒有任何適當(dāng)?shù)陌踩胧?,也沒有被試圖鎖定的跡象。
SecurityDiscovery網(wǎng)站的網(wǎng)絡(luò)威脅情報(bào)總監(jiān)鮑勃·迪亞琴科(Bob Diachenko)稱,我們在上周發(fā)現(xiàn)了一個(gè)巨大的ElasticSearch數(shù)據(jù)庫,包含超過27億個(gè)電郵地址,其中有10億個(gè)的密碼都是簡單的明文。
大多數(shù)被盜的郵件域名都來自中國的郵件提供商,比如騰訊、新浪、搜狐和網(wǎng)易。
當(dāng)然,雅虎gmail和一些俄羅斯郵件域名也受了影響。這些被盜的電郵及密碼也與2017年那次大型的被盜事件有關(guān),當(dāng)時(shí)有黑客直接將它們放在暗網(wǎng)上售賣。
該ElasticSearch服務(wù)器屬于美國的一個(gè)托管服務(wù)中心,后者在Diachenko發(fā)布數(shù)據(jù)庫存儲(chǔ)安全報(bào)告后于12月9日被關(guān)閉。但即使如此,它已經(jīng)開放了至少一周,并且允許任何人在無密碼的情況下進(jìn)行訪問。
Diachenko稱,單就數(shù)字而言,這可能是他所看到的記錄數(shù)據(jù)最龐大的一次(他自2018年以來發(fā)掘了多次數(shù)據(jù)泄露事件,其中包括2.75億個(gè)印度公民信息的數(shù)據(jù)庫)。
被泄露的27億個(gè)電子郵件地址目前無法證實(shí)是否為有效地址,但其來源確屬違規(guī)。Diachenko認(rèn)為,這些電子郵件往往不會(huì)引起企業(yè)的重視,但實(shí)際上電子郵件賬戶會(huì)受到攻擊的可能性更高。
因?yàn)檫@些電子郵件一旦引發(fā)攻擊行為,用戶通常不會(huì)受到警報(bào),原因在于國內(nèi)的防火墻阻止了檢查電子郵件泄露的服務(wù)。
目前尚不清楚到底誰公開了數(shù)據(jù)庫,這有可能是黑客,也有可能就是安全研究人員,但無論哪種方式,該行為都忽視了ElasticSearch原本提供的安全性選項(xiàng),這只是許多忽略保護(hù)云存儲(chǔ)安全重要性示例中的另一個(gè)。
Diachenko在研究中發(fā)現(xiàn)一個(gè)線索,數(shù)據(jù)庫的所有者用每個(gè)地址的MD5、SHA1和SHA256散列對(duì)偷來的電子郵件地址進(jìn)行了操作,這很有可能是為了方便在數(shù)據(jù)庫中進(jìn)行搜索。
這種情況很像是原本買下了該數(shù)據(jù)庫的某人本試圖啟動(dòng)其搜索功能,卻被錯(cuò)誤配置成了公開可用。
與此同時(shí),英國滲透測試公司Fidus Information Security的研究人員在AWS S3存儲(chǔ)桶中發(fā)現(xiàn)了近80萬份美國出生證明復(fù)印件的在線申請,該存儲(chǔ)桶屬于一家提供出生和死亡證明復(fù)印件服務(wù)的公司。bucket沒有密碼保護(hù),因此對(duì)任何人都是開放的。
有趣的是,據(jù)TechCrunch稱,研究人員無法訪問存儲(chǔ)桶中的94000個(gè)死亡證明副本應(yīng)用程序數(shù)據(jù)庫。
TechCrunch發(fā)現(xiàn),該應(yīng)用程序中包含的數(shù)據(jù)可以追溯到2017年末,泄露數(shù)據(jù)的范圍包括姓名、出生日期、地址、電子郵件地址、電話號(hào)碼和其他個(gè)人數(shù)據(jù)。
Fidus主管Andrew Mabbitt稱,他的公司在從事AWS S3項(xiàng)目時(shí)發(fā)現(xiàn)了數(shù)據(jù)。該存儲(chǔ)桶經(jīng)過配置,可以實(shí)現(xiàn)對(duì)外界的開放可讀,允許具有URL的任何人獲得所有文件的完整列表。
截止目前,該程序庫仍然保持公開狀態(tài)。研究人員稱,在多次聯(lián)系A(chǔ)mazon AWS安全團(tuán)隊(duì)后,后者表示已將報(bào)告?zhèn)鬟f給存儲(chǔ)桶所有者,并建議盡快采取措施。但是,所有者似乎忽略了這些消息,至今沒有任何回復(fù)。
位于公共互聯(lián)網(wǎng)上的配置錯(cuò)誤和暴露的數(shù)據(jù),足以造成攻擊事件發(fā)生。黑客可以對(duì)所有者進(jìn)行信息欺詐或者盜取身份信息,這類有針對(duì)性的電子郵件網(wǎng)絡(luò)釣魚和黑進(jìn)賬戶的案例已經(jīng)很多。
Bitglass的首席技術(shù)官Anurag Kahol建議,企業(yè)應(yīng)確保他們對(duì)客戶數(shù)據(jù)有充分的了解和把控度。適當(dāng)?shù)貌捎脤?shí)時(shí)訪問控制、靜態(tài)數(shù)據(jù)加密并配置可以檢測任何配置錯(cuò)誤的云安全設(shè)置。