AICon全球人工智能与机器学习技术大会8折特惠,购票立减¥960! 了解详情
写点什么

一个月被曝五次数据泄露,ElasticSearch 还行不行?

2019 年 1 月 28 日

一个月被曝五次数据泄露,ElasticSearch还行不行?

数据泄露是每个公司和用户的噩梦,可是谁能想到短短的一个月时间内,ElasticSearch 已经发生了五起数据泄露事件,而且泄露数据的辐射面都不算小。下面我们就来一起回顾一下这五起泄露事件吧!


VOIPO 超百万的电话和短信数据泄露

2019 年 1 月,Cloudflare Trust & Safety Director Justin Paine 发布消息称,他通过 Shodon 搜索引擎找到了加州 IP 语音服务商的 ElasticSearch 数据库,该数据库可用于在线查找连接互联网的设备和系统,通过简单操作就可以找到大量的数据库。


这次数据泄露不仅包括 VOIPO 呼叫日志,同时还包括 SMS / MMS 消息记录和明文内部系统凭证。其中,共有 670 万个文档中包含有呼叫日志,日志内容涉及部分原始号码、部分目的地号码、时间戳和呼叫持续时间等详细信息;600 万条可追溯到 2015 年的短信和彩信日志,包括时间戳和消息内容;200 万个日志文档引用了内部系统的主机名,明文用户名和密码以及 API 密钥;用于 VOIPO 会话的设备信息也被泄露,内部包括设备 IP 地址、MAC 地址、时间戳和使用价值。


青年学生组织 AIESEC 的 400 万条志愿者信息泄露

AIESEC 是一家非营利组织,自称是“世界上最大的青年组织”,AIESEC 有 10 万多会员,遍及 126 个国家。


1 月 11 日,独立安全研究人员鲍勃·迪亚琴科(Bob Diachenko)在 Elasticsearch 找到一个未受保护的数据库,里面包含 AIESEC 申请人的信息,具体包括申请人的名字、性别、出生年月、申请实习原因等信息,还有申请被拒的时间。值得注意的是,这些信息不需要密码就可以获取。


在线赌场泄漏 1.08 亿投注信息

安全研究员 Justin Paine 发现了一个没有密码保护的 ElasticSearch 服务器,该服务器不需要身份验证且很明显信息来源于在线投注门户网站。据报道,这次数据泄露包含了超过 1.08 亿笔投注信息,信息包括有客户个人资料,存取款记录、家庭住址、电话号码、电子邮件地址、出生日期、网站用户名、帐户余额、IP 地址、浏览器、操作系统信息、上次登录信息和游戏列表,甚至包含当前投注、获胜、用于交易的银行卡等等。


值得庆幸的是,ElasticSearch 服务器中交易银行卡详细信息被部分加密,没有公开完整财务细节;坏消息是任何发现数据库的人都会知道最近赢得大笔金钱的玩家姓名、家庭住址和电话号码,并且可能已将这些作为诈骗或勒索的目标用户。


美国多家大银行贷款文件遭泄露,文件数量达 2400 万

据 1 月 24 日的外媒报道,因为服务器出现安全漏洞,美国多家大银行、2400 多万份金融及银行资料遭泄露。据悉,受影响服务器上运行的是 Elasticsearch 数据库,其中包含了 10 多年的历史数据,比如贷款和抵押贷款协议、还款计划、敏感财务及税务文档。这些文件没有受到密码的保护,任何人都可以查阅。


据报道称,该数据库只暴露了 2 周,1 月 15 日就被保护起来了。不过,意外的是,1 月 15 日,供应商在配置服务器时有出现了错误,导致一些与抵押贷款有关的文档泄露,目前泄露源 Ascension 的母公司 Rocktop Partners 正在与第三方专家合作展开调查。


百安居发生数据泄露,70000 起店内盗窃案的信息流出

对于大型连锁超市来说,盗窃案件虽不能说是司空见惯,但也是时有发生,所以,一般他们都会创建数据库来存储相关信息,例如窃取者姓名、被盗物品、被盗物品的价值以及是从哪家商店盗窃的等等。


近日,Ctrlbox 的安全专家爆料称,英国著名的家居建材零售商 B&Q 在追踪罪犯和盗窃行为的数据库方面一直很粗心,其中有一个放在数据库中记录了 70000 多名盗窃者的相关信息,本来应该是只能在 B&Q 内部访问的,但是因为没有设置密码导致所有人都可以访问。


据悉,这个数据库是放在 ElasticSearch 服务器上的,由于数据库中存放的数据是高度敏感的数据,所以一旦草率落入坏人手中,可能会引起严重后果。B&Q 对此事的处理也不是很积极,有报道称,漏洞发现者曾多次联系 B&Q 方面的工作人员,但是 B&Q 在得知消息的两周后才下线了 ElasticSearch 服务器。


一个月时间,被曝出五起数据泄露事件,作为主角的 ElasticSearch 难免会让人产生质疑,但是比起追责和质疑,当务之急是补救。笔者曾看到有博客发文列出了数据泄露发生之后最应该做的三件事情:


1. 一定要有计划的行事,不要盲目做事


如果发生数据泄露或网络攻击,第一时间是要搞清楚问题发生的原因,要确定数据泄露的发生形式,是勒索软件攻击、系统上的恶意软件、带有开放端口的防火墙,过时的软件还是无意的内部威胁。确定攻击方式之后,为了防止因错误决定导致情况恶化,最好是由决策人来负责指导回复计划,如果没有计划的话,也可联系有处理经验的专家、顾问或代理机构。


2.不要忽视数据泄露的严重性


当发生数据泄露时,我们要正视这个事实,甚至在有必要的时候,要及时通知员工、合作伙伴和客户,诚实、开放、透明地解释清楚泄露是如何发生的以及未来的补救措施,即使可能需要专业机构或顾问帮助制定事件响应计划,也要确保员工能够有正确的渠道获取信息。


3.明确了解事件的前因后果


了解事件发生的前因后果是防止下次攻击或数据泄露的关键,我们需要了解哪些系统和数据受到了影响,采取何种办法解决问题,在最终复盘的时候,要明确哪些工作作对了,哪些做错了。


2019 年 1 月 28 日 11:057760
用户头像

发布了 34 篇内容, 共 26.3 次阅读, 收获喜欢 55 次。

关注

评论 2 条评论

发布
用户头像
更正一下, 是shodan, 不是shodon
2019 年 01 月 29 日 13:28
回复
用户头像
文末居然没有卖课,都怀疑进错了网站
2019 年 01 月 29 日 12:11
回复
没有更多了
发现更多内容

容器化应用系统上生产的最佳实践

东风微鸣

Kubernetes 最佳实践 生产

socket编程

菜鸟小sailor 🐕

websocket

DDIA 读书笔记(2)数据模型的存储与检索

莫黎

读书笔记

学习总结

饺子

架构师训练营第一周课后作业

李日盛

批处理 有状态等应用类型在K8S上应该如何配置?

东风微鸣

Kubernetes 最佳实践

Vidyo产品给用户方带来了什么直接的便利

dwqcmo

音视频 集成架构 解决方案 智能硬件

区块链赋能供应链金融|应用优势与四类常见模式

CECBC区块链专委会

区块链

关于编码

西贝

Java 编码

趣味科普丨一文读懂云服务器的那些事儿

华为云开发者社区

镜像 服务器 服务

GitLab用户切换引发的某程序员“暴动”,怒而开源项目源码

小Q

Java git 学习 开发 代码仓库

数据湖探索DLI新功能:基于openLooKeng的交互式分析

华为云开发者社区

数据 处理

1分钟带你get React setState 面试要点

Leo

面试 前端 React 前端进阶训练营 setState

食堂就餐卡系统设计

Griffenliu

数据安全无小事:揭秘华为云GaussDB(openGauss)全密态数据库

华为云开发者社区

安全 数据 加密

容器开发运维人员的Linux操作机配置优化建议

东风微鸣

Kubernetes 最佳实践 k8s入门

微服务的理想与现实

京东科技开发者

云原生

mongodb源码实现、调优、最佳实践系列-Mongodb网络模块源码实现及性能调优(一)

杨亚洲(专注mongodb及高性能中间件)

MySQL mongodb 中间件 架构师 分布式数据库mongodb

面试官的灵魂一击:你懂 MySQL 事务日志吗?

Java架构师迁哥

在K8S Volume中使用 subPath

东风微鸣

Kubernetes 最佳实践

终于,SM2国密算法被Linux内核社区接受了!

阿里云基础软件团队

spring-boot-route(二十二)实现邮件发送功能

Java旅途

Java Spring Boot 发送邮件

全面到哭!BAT内部Java求职面试宝典,必须人手一份!

Java架构之路

Java 程序员 架构 面试 编程语言

为什么Java容器推荐使用ExitOnOutOfMemoryError而非HeapDumpOnOutOfMemoryError?

东风微鸣

Kubernetes 最佳实践 jvm调优

架构师训练营第五周学习总结

尹斌

架构训练营第一周学习小结

李日盛

谁说AI看不懂视频?

华为云开发者社区

视频 剪辑

Java中String占用空间的评估标准

陈德伟

Java jdk 源码剖析

标准的开发框架,对企业开发有多重要?

Learun

敏捷开发 快速开发

商用密码与区块链共推数字经济发展

CECBC区块链专委会

网络安全 数字经济

小熊派开发实践丨漫谈LiteOS之传感器移植

华为云开发者社区

开发 IoT stm32

一个月被曝五次数据泄露,ElasticSearch还行不行?-InfoQ