hackread 資訊網(wǎng)站消息，兩臺配置錯誤的 ElasticSearch 服務(wù)器共暴露了約 3.59(35 9019902)億條記錄，這些記錄在 SnowPlow Analytics 開發(fā)的數(shù)據(jù)分析軟件幫助下收集而來。

Website Planet 的 IT 安全研究人員發(fā)現(xiàn)了兩臺暴露的 ElasticSearch 服務(wù)器，經(jīng)過研究，確定服務(wù)器使用的是軟件供應(yīng)商SnowPlow Analytics開發(fā)的開源數(shù)據(jù)分析軟件，尚不清楚屬于那個組織。

數(shù)據(jù)分析軟件允許公司在其網(wǎng)站訪問者不知情的情況下跟蹤和存儲信息。值得注意的是，網(wǎng)絡(luò)分析工具可以收集多種數(shù)據(jù)指標(biāo)，然后使用這些數(shù)據(jù)為網(wǎng)站訪問者創(chuàng)建一個廣泛、詳細(xì)的個人資料庫。

配置錯誤的 ElasticSearch 服務(wù)器案例

據(jù)研究人員稱，這兩個 ElasticSearch 服務(wù)器沒有任何加密或用戶驗(yàn)證措施，意味著任何人都可以在不需要密碼的情況下訪問這些數(shù)據(jù)。

這兩個不安全的、配置錯誤的服務(wù)器最終暴露了大約 579.4GB 的用戶記錄數(shù)據(jù)(359019902條)。暴露的服務(wù)器包含網(wǎng)絡(luò)用戶流量的詳細(xì)日志，主要包括以下內(nèi)容：

• 推薦人頁面
• 時間戳IP
• 地理定位數(shù)據(jù)
• 訪問的網(wǎng)頁
• 網(wǎng)站訪問者的用戶代理數(shù)據(jù)

被曝光數(shù)據(jù)的細(xì)節(jié)

從 Website Planet 發(fā)表的文章來看，兩臺服務(wù)器暴露的用戶數(shù)據(jù)都集中在 2021 年兩個月份里。

第一個服務(wù)器主要包含了 2021 年 9 月的數(shù)據(jù)，共 24728328 條記錄，約 389.7GB(2021 年 9 月 2 日和 10 月 1 日之間收集的數(shù)據(jù))。

第二臺服務(wù)器主要包含了 2021 年 12 月的數(shù)據(jù)，共 116291574 條記錄，約 189.7GB(2021 年 12 月 1 日和 2021 年 12 月 27 日之間收集的數(shù)據(jù))。

1500 萬用戶可能受到影響

經(jīng)過進(jìn)一步分析，研究小組指出，大約 4 到 100 條用戶記錄出現(xiàn)在兩臺服務(wù)器上，并且鑒于每個用戶有多個日志，這種暴露可能會影響至少 1500 萬人。

值得注意的是，攻擊者能夠利用暴露的用戶配置文件服務(wù)器日志定位人員，并通過用戶的 IP 地址過濾用戶。這意味著所披露的信息允許攻擊者獲得有關(guān)用戶的數(shù)字軌跡信息，例如網(wǎng)頁瀏覽偏好和其他活動。

另外，研究人員表示，這些服務(wù)器在被發(fā)現(xiàn)時依舊處于活動狀態(tài)，并一直在積極更新信息。錯誤配置服務(wù)器背后的運(yùn)營公司應(yīng)該對數(shù)據(jù)暴露事件負(fù)責(zé)，ElasticSearch 和 SnowPlow Analytics 均不應(yīng)該對此次曝光負(fù)責(zé)。

此次數(shù)據(jù)暴露影響深遠(yuǎn)，Website Planet 已經(jīng)向有關(guān)當(dāng)局發(fā)出警報，兩臺被暴露的服務(wù)器也都得到了保護(hù)，但是尚不清楚是否有惡意意圖的第三方訪問了這些服務(wù)器 。]

參考文章：https://www.hackread.com/misconfigured-elasticsearch-servers-user-website-activity/