Elasticsearch又泄露27億數據,波及BAT等大廠
2019 年 12 月 12 日,又是讓人無語的 Elasticsearch 服務器,不到兩周時間,新一輪的數據泄露事件便再度發生!
最近的一次 Elasticsearch 信息泄漏
這次,研究人員在不安全的云存儲桶中,總共發現了 27 億個電子郵件地址,10 億個電子郵件賬戶密碼以及一個裝載了近 80 萬份出生證明副本的應用程序。
研究人員稱,過去一年里,一些企業無意識得讓他們的 Amazon Web 服務 S3 和基于云計算的 Elasticsearch 存儲桶暴露出來。它們沒有任何適當的安全措施,也沒有被試圖鎖定的跡象。
Security Discovery 網站的網絡威脅情報總監鮑勃·迪亞琴科(Bob Diachenko)稱,我們在上周發現了一個巨大的 Elasticsearch 數據庫,包含超過 27 億個電郵地址,其中有 10 個的密碼都是簡單的明文。
大多數被盜的郵件域名都來自中國的郵件提供商,比如騰訊、新浪、搜狐和網易。當然,雅虎 Gmail 和一些俄羅斯郵件域名也受了影響。
這些被盜的電郵及密碼也與 2017 年那次大型的被盜事件有關,當時有黑客直接將它們放在暗網上售賣。
該 Elasticsearch 服務器屬于美國的一個托管服務中心,后者在 Diachenko 發布數據庫存儲安全報告后于 12 月 9 日被關閉。
但即使如此,它已經開放了至少一周,并且允許任何人在無密碼的情況下進行訪問。
Diachenko 稱,單就數字而言,這可能是我所看到的記錄數據最龐大的一次(他自 2018 年以來發掘了多次數據泄露事件,其中包括 2.75 億個印度公民信息的數據庫)。
被泄露的 27 億個電子郵件地址目前無法證實是否為有效地址,但其來源確屬違規。
Diachenko 認為,這些電子郵件往往不會引起企業的重視,但實際上電子郵件賬戶會受到攻擊的可能性更高。
因為這些電子郵件一旦引發攻擊行為,用戶通常不會受到警報,原因在于國內的防火墻阻止了檢查電子郵件泄露的服務。
目前尚不清楚到底誰公開了數據庫,這有可能是黑客,也有可能就是安全研究人員。
但無論哪種方式,該行為都忽視了 Elasticsearch 原本提供的安全性選項,這只是許多忽略保護云存儲安全重要性示例中的另一個。
Diachenko 在研究中發現一個線索,數據庫的所有者用每個地址的 MD5、SHA1 和 SHA256 散列對偷來的電子郵件地址進行了操作,這很有可能是為了方便在數據庫中進行搜索。
這種情況很像是原本買下了該數據庫的某人本試圖啟動其搜索功能,卻被錯誤配置成了公開可用。
與此同時,英國滲透測試公司 Fidus Information Security 的研究人員在 AWS S3 存儲桶中發現了近 80 萬份美國出生證明復印件的在線申請,該存儲桶屬于一家提供出生和死亡證明復印件服務的公司。bucket 沒有密碼保護,因此對任何人都是開放的。
有趣的是,據 TechCrunch 稱,研究人員無法訪問存儲桶中的 94000 個死亡證明副本應用程序數據庫。
TechCrunch 發現,該應用程序中包含的數據可以追溯到 2017 年末,泄露數據的范圍包括姓名、出生日期、地址、電子郵件地址、電話號碼和其他個人數據。
Fidus 主管 Andrew Mabbitt 稱,他的公司在從事 AWS S3 項目時發現了數據。
該存儲桶經過配置,可以實現對外界的開放可讀,允許具有 URL 的任何人獲得所有文件的完整列表。
截止目前,該程序庫仍然保持公開狀態。研究人員稱,在多次聯系 Amazon AWS 安全團隊后,后者表示已將報告傳遞給存儲桶所有者,并建議盡快采取措施。但是,所有者似乎忽略了這些消息,至今沒有任何回復。
位于公共互聯網上的配置錯誤和暴露的數據,足以造成攻擊事件發生。黑客可以對所有者進行信息欺詐或者盜取身份信息,這類有針對性的電子郵件網絡釣魚和黑進賬戶的案例已經很多。
Bitglass 的首席技術官 Anurag Kahol 建議,企業應確保他們對客戶數據有充分的了解和把控度。
適當得采用實時訪問控制、靜態數據加密并配置可以檢測任何配置錯誤的云安全設置。
