新智元报道
编辑:鹏飞
【新智元导读】全文检索服务商一哥Elasticsearch发生用户隐私泄露事件。该服务器包含40亿个用户帐户,涵盖了超过4TB的数据。涉及人员总数达到了12亿,这是有史以来单一来源组织最大的数据泄露事件之一。泄漏的数据包含姓名,电子邮件地址,电话号码,LinkedIn和Facebook个人资料信息。
人类历史上,可能是第二大个人信息泄露事故发生了!12亿网民的隐私信息,正在毫无遮掩的暴露在互联网上。
而这一切,源自目前全文检索服务商一哥:Elasticsearch。
可能有的读者没有体会到Elasticsearch泄露用户信息的严重性,这里我们先简单介绍一下全文检索以及Elasticsearch:
- 全文检索技术是搜索引擎的核心技术,同时也是电子商务网站的支撑技术。应用于企业信息网站、媒体网站、政府站点、商业网站、数字图书馆和搜索引擎中
- Elasticsearch是一个基于Lucene库的搜索引擎。它提供了一个分布式、支持多租户的全文搜索引擎,具有HTTP Web接口和无模式JSON文档。Elasticsearch是用Java开发的,并在Apache许可证下作为开源软件发布。根据DB-Engines的排名显示,Elasticsearch是最受欢迎的企业搜索引擎
实际上,Elasticsearch在国内的应用也非常广泛。根据中国互联网络信息中心(CNNIC)28日发布的第43次《中国互联网络发展状况统计报告》显示,截至2018年12月底,中国网民规模达8.29亿,手机网民规模达8.17亿。
不敢细想啊!
此次事件是由研究人员Bob Diachenko和Vinny Troia于10月16日首次发现的。他们发现了一个超过4TB的数据库,包含来自社交媒体来源(如Facebook和LinkedIn)的抓取信息,名称,个人和工作电子邮件地址,电话号码,Twitter和Github URL等等信息。
总而言之,这些资料提供了个人的360度视图,包括他们的就业和教育历史。所有信息均不受保护,无需登录即可访问!
Diachenko和Troia的调查发现,数据集来自两家独立的潜在客户公司,其业务是收集高度详细的个人资料:People Data Labs(PDL)和OxyData[.]io。
研究人员称:“大多数数据跨越四个单独的数据索引,分别标记为'PDL'和'OXY',每个索引约有10亿人的信息。数据库中的每个用户记录都标有分别与PDL或Oxy相匹配的'source'字段。”
研究人员解释说:“为了测试数据是否属于PDL,我们在他们的网站上创建了一个免费帐户,该帐户每月为用户提供1000个免费人员查找。在开放的Elasticsearch服务器上发现的数据几乎与People Data Labs API返回的数据完全匹配。为了确认,我们随机测试了50个其他用户,结果始终一致。”
在通知了两家公司之后,两家公司却表示相关服务器不属于他们。
研究人员表示,他们不确定是如何在现已关闭的数据库中收集数据。或许是一个同时拥有PDL和OxyData账户的客户?亦或是数据被黑客窃取并放置在存储桶中?关于服务器所有者的唯一线索是其IP地址(35.199.58.125),该地址由Google Cloud托管。谷歌没有回应谁在租用该服务器的问题。
PDL的联合创始人兼首席执行官Sean Thorne表示,只有一部分数据来自他的公司,他怀疑这些数据是由另一家公司汇总收集的。
这些数据会有哪些潜在的威胁呢?Mimecast的电子犯罪负责人卡尔·韦恩(Carl Wearn)通过电子邮件说:“这样的信息对于犯罪分子来说是非常有用的,它是黑客入侵许多相关帐户的起点,也使自身有可能增加凭据填充攻击。显然,这些信息还为工业,政治和与国家有关的间谍活动提供了一个信息宝库,泄露的数据有多种恶意用途。”
ZeroFOX威胁运营总监Zack Allen告诉Threatpost:“将诸如电话号码之类的信息暴露给电子邮件或社交帐户之类的个人帐户的数据泄露事件,与暴露支付信息的情况一样严重。幸运的是,现在更改信用卡或帐户密码虽然亡羊补牢但还是能及时止损。但是,如果此漏洞的受害者的电话号码和Facebook个人资料被泄露,该怎么办?换号吗?想象一下你换号以后要挨个给重要联系人发送消息通知对方有多麻烦!”
网络安全公司Cycognito Inc.产品管理负责人Dvir Babila告诉SiliconANGLE:“这是一个重大漏洞,一个主要的问题是谁是漏洞背后服务器的拥有者。确定此类阴影中IT资产的所有权需要大量指纹,并且必须将这些指纹与Internet上公开的其他IT资产相关联,以构成完整的图片。”
Babila补充说,手动处理大量原始威胁情报数据非常具有挑战性。应用数学技术,例如图形数据模型,效果更好。随着每个组织的IT资产都比以往任何时候都更多地依赖云端,必须将威胁防御和情报系统应用到更高的自动化水平,以评估风险和处理事件后取证。”
Cequence Security Inc.的黑客Jason Kent说,一个拥有12亿人信息的黑客活动几乎是史无前例的。“这种数据,更不用说数据库的大小了,真是令人恐惧,”他说。“直到现在,数据库信息都是上下文相关的,例如来自财务数据库漏洞的财务数据。在这里,我们看到了前所未有的、新的、潜在的危险数据关联。”
Tripwire产品管理和策略副总裁Tim Erlin指出,在互联世界中,最重要的是联系。他说:“收集并连接起来的并非完全秘密的个人数据,甚至可能是公开数据,都具有新的意义。诸如此类的存储库之所以令人关注,不仅因为它们包含的数据,而且因为作为一个行业,我们实际上没有一种方法来衡量这种暴露的影响。”
Troia在10月份在例行扫描未受保护的数据时发现了这个数据库,并向美国联邦调查局报告了这个4 TB数据库及其位置。他说,此后服务器已关闭,但该事件的影响可能远比我们能够想到的要更可怕!
我们不能确定是否自己的卡号、手机号等重要信息也包含这个数据库中,当务之急则是应该提高网络安全意识,注意有关自己信息的异常事件,尽可能的降低因为信息泄露导致的不必要的损失!