近日,安全研究员、GDI.Foundation 成员 Sanyam Jain 通过 SUDAN 搜索引擎发现了一个可被完全访问的 Elasticsearch 数据库,数据库中共包含有 57GB 的数据,数据内容是 3300 万中国应聘者的个人资料,暴露的数据包括求职者的用户名、性别、年龄、当前城市、家庭地址、电子邮件地址、电话号码、婚姻状况、工作历史、教育历史和工资历史等等。
(数据库中泄露的内容示例)
2019 年 3 月 10 日,Jain 发现了这个数据库之后第一时间报告给了 Bleeping Computer,同时为了阻止数据库的暴露情况及保护数据库安全,Jain 还曾尝试寻找该数据库的所有者。
虽然当时 Jain 无法确定数据库所有者,但是他在数据中发现了多家中国招聘网站的“身影”,包括前程无忧、拉勾和智联招聘。“根据初步调查,该数据库中存储了来自前程无忧、拉勾和智联招聘的招聘数据,我认识是有一家第三方公司在收集这些公司的数据,并以某种方式在使用。”
3 月 11 日,Jain 联系了中国互联网应急中心 CNCERT,并于当天收到回复,CNCERT 已确定该 IP 地址的所有者为“北京到网络科技有限公司”,正在联系他们关闭数据库。
3 月 15 日,该数据库被关闭。
事实上,Elasticsearch 因不设密而导致的数据泄露事件并不在少数,仅仅是在 2019 年 2 月,笔者就报道过 6 起。虽然,Elasticsearch 的开源版本是不具备任何数据保护功能,但是企业在使用数据库时自身要提高安全意识,尤其是基础的保护措施一定要用起来:
1)服务器必须要有防火墙,不能随意对外开放端口;
2)Elasticsearch 集群的端口包括 TCP 和 HTTP,都不能暴露在公网;
3)Elasticsearch 集群禁用批量删除索引功能;
4)Elasticsearch 中保存的数据要做基本的脱敏处理;
5)加强监控和告警,能够在安全事件发生的第一时间感知并启动紧急预案,将损失降到最低 。
相关阅读:一个月被曝五次数据泄露,ElasticSearch 还行不行?
一个月 6 次泄露,为啥大家用 Elasticsearch 总不设密码?
InfoQ 编辑
Java 避坑指南:Java 高手笔记代码篇
本迷你书包括 86 个业务开发中常见踩坑点。每一个知识点都相当的实用,是程序员业务开发中的必备避坑指南...
评论