Elasticsearch 再发数据泄露事件,包含 27 亿邮箱数据和10 亿明文密码,波及多家中国大厂用户数据!

2020-02-10 11:57:31 浏览数 (1)

就在不到一个月之前,安全人员 Bob Diachenko 和 Vinny Troia 发现了一个公开可访问的 Elasticsearch 服务器,其中包含 12 亿用户账户,该服务器被公开在暗网上。大部分泄露的原因都是 Elasticsearch 服务器没有设置密码保护。

Elasticsearch 服务器 12 亿个人数据遭泄露的事件刚刚过去不久,新一轮的数据泄露事件便再度发生,这次,研究人员在不安全的云存储服务器中,总共发现了 27 亿个电子邮件地址, 10 亿个电子邮件账户密码以及一个装载了近 80 万份出生证明副本的应用程序。

Diachenko 称:“单就数字而言,这可能是我所看到的泄露数据最庞大的一次。”

SecurityDiscovery 网站的安全研究人员 Bob Diachenko 称,在上周发现了一个巨大的 ElasticSearch 数据库,包含超过 27 亿个电邮地址,其中有 10 亿个的密码都是简单的明文。大多数被盗的邮件域名都来自中国的邮件提供商,比如腾讯、新浪、搜狐和网易。一些雅虎、Gmail 以及一些俄罗斯邮件域名也受了影响。这些被盗的电邮及密码也与 2017 年那次大型的被盗事件有关,当时有黑客直接将它们放在暗网上售卖。

该 ElasticSearch 服务器属于美国的一个托管服务中心,该数据泄露的 Elasticsearch 数据库被发现的情况为:

  • 2019 年 12 月 1 日:该数据库首先由 BinaryEdge 搜索引擎建立索引,此后公开可用。
  • 2019 年 12 月 4 日:Diachenko 发现了数据库,并立即采取措施通知责任方。
  • 2019 年 12 月 9 日:禁止访问数据库。

但即使如此,它已经开放了至少一周,并且允许任何人在无密码的情况下进行访问。

被泄露的 27 亿个电子邮件地址目前无法证实是否为有效地址,但其来源确属违规。 Diachenko 认为,这些电子邮件往往不会引起企业的重视,但实际上电子邮件账户会受到攻击的可能性更高。

目前尚不清楚到底谁公开了数据库,这有可能是黑客,也有可能就是安全研究人员。但无论哪种方式,该行为都忽视了 ElasticSearch 原本提供的安全性选项,这只是许多忽略保护云存储安全重要性示例中的另一个。

Diachenko 在研究中发现一个线索,数据库的所有者用每个地址的 MD5 、 SHA1 和 SHA 256 散列对偷来的电子邮件地址进行了操作,这很有可能是为了方便在数据库中进行搜索。这种情况很像是原本买下了该数据库的某人本试图启动其搜索功能,却被错误配置成了公开可用。

位于公共互联网上的配置错误和暴露的数据,足以造成攻击事件发生。黑客可以对所有者进行信息欺诈或者盗取身份信息,这类有针对性的电子邮件网络钓鱼和黑进账户的案例已经很多。

Elasticsearch 开源版本是不具备任何数据保护功能的,只有基本的攻击保护,例如防火墙。Bitglass 的首席技术官 Anurag Kahol 建议,企业应确保他们对客户数据有充分的了解和把控度。适当的采用实时访问控制、静态数据加密并配置可以检测任何配置错误的云安全设置。

如何预防数据泄露呢?

首先,Elasticsearch 开源版本是不具备任何数据保护功能的。不过,Elasticsearch 产品的提供商 Elastic 为订阅用户提供了相关的数据保护功能,例如认证和授权、数据加密(通讯加密)、审计合规等。如果自己搞不定安全问题,选择商业版本也是一条不错的路子。

如果只想开源版本,技术专家也给出了几个低成本的防止数据泄露的措施:

1)服务器必须要有防火墙,不能随意对外开放端口;

2)Elasticsearch 集群的端口包括 TCP 和 HTTP,都不能暴露在公网;

3)Elasticsearch 集群禁用批量删除索引功能;

4)Elasticsearch 中保存的数据要做基本的脱敏处理;

5)加强监控和告警,能够在安全事件发生的第一时间感知并启动紧急预案,将损失降到最低。

参考文档

1. https://www.google.com

2. https://url.cn/5JZL6Ax

3. https://url.cn/5vApW46

0 人点赞