2019 年 12 月 12 日,又是令人无奈的 Elasticsearch 网络服务器,不上两个星期時间,新一轮的数据泄露事情便再度产生!
近期的一次 Elasticsearch 信息泄露
此次,研究人员在没有安全性的云储存桶中,一共发觉了 27 亿次电子邮箱地址,10 亿次电子邮箱账户密码及其一个运载了近 80 万分出生医学证明团本的应用软件。
研究人员称,以往一年里,一些公司潜意识得让这些人的 Amazon Web 服务项目 S3 和根据云计算技术的 Elasticsearch 储存桶曝露出去。他们没有适度的安全防范措施,都没有被尝试锁住的征兆。
Security Discovery 网址的互联网威胁情报主管鲍勃·迪纳琴科(Bob Diachenko)称,我们在上星期发觉了一个极大的 Elasticsearch 数据库查询,包括超出 27 亿次电邮地址,在其中有 10 个的账户密码全是简易的密文。
大部分失窃的电子邮件网站域名都源自我国的电子邮件服务提供商,例如腾讯官方、新浪网、搜狐网和网易游戏。自然,yahoo Gmail 和一些俄国电子邮件网站域名也受了危害。
这种失窃的电子邮件及登陆密码也与 2017 年那一次大中型的失窃事情相关,那时候有网络黑客立即将他们放到暗在网上出售。
该 Elasticsearch 网络服务器归属于英国的一个托管服务核心,后面一种在 Diachenko 公布数据存储安全报告后于 12 月 9 日被关掉。
但即便如此,它早已开启了最少一周,而且容许所有人在无登陆密码的情形下开展浏览。
Diachenko 称,单就数据来讲,这将会就是我所看见的纪录数据信息最巨大的一次(他自 2018 年至今挖掘了多次数据泄露事情,主要包括 2.75 亿次印度的中国公民信息的数据库查询)。
被泄漏的 27 亿次电子邮箱地址现阶段没法确认是不是为合理详细地址,但其由来确属违反规定。
Diachenko 觉得,这种电子邮箱通常不易造成公司的高度重视,但事实上电子邮箱帐户会遭受伤害的概率更高一些。
由于这种电子邮箱一旦引起攻击性行为,客户通常不容易遭受报警,缘故取决于中国的服务器防火墙阻拦了查验电子邮箱泄漏的服务项目。
现阶段尚不清楚究竟谁公布了数据库查询,这有可能是网络黑客,也是有将会便是安全性研究人员。
但无论哪一种方法,该个人行为都忽略了 Elasticsearch 本来给予的安全系数选择项,这仅仅很多忽视维护云储存安全性必要性实例中的另一个。
Diachenko 在研究中看到一个案件线索,数据库查询的使用者用每一个详细地址的 MD5、SHA1 和 SHA256 散列对偷回来的电子邮箱地址开展了实际操作,这极有可能是因为便于在数据库系统中实现检索。
这样的事情很好像本来买下来了该数据库查询的别人本尝试运行其检索作用,却被不正确配备变成公布可以用。
此外,法国网站渗透测试企业 Fidus Information Security 的研究人员在 AWS S3 储存桶中发觉了近 80 万分英国出生医学证明影印件的网上申请,该储存桶归属于一家给予出世和死亡证影印件服务项目的企业。bucket 沒有密码设置,因而对所有人全是开放式的。
有意思的是,据 TechCrunch 称,研究人员无法打开储存桶中的 94000 个死亡证团本应用软件数据库查询。
TechCrunch 发觉,该应用软件中包括的统计数据可以上溯到 2017 年底,泄漏数据信息的范畴包含名字、出世日期、详细地址、电子邮箱地址、联系电话和别的个人数据。
Fidus 负责人 Andrew Mabbitt 称,他的企业在从业 AWS S3 新项目时发觉了数据信息。
该储存桶通过配备,可以完成对外部的开放式可读,容许具备 URL 的所有人得到全部材料的详细目录。
到目前为止,该程序库依然维持公布情况。研究人员称,在多次联络 Amazon AWS 安全性精英团队后,后面一种表明已将汇报传送给储存桶使用者,并提议尽早采取一定的有效措施。可是,使用者好像忽视了这种信息,迄今没有回应。
坐落于公共性互联网技术上的配备不正确和裸露的数据信息,足够导致进攻情况产生。网络黑客可以对使用者开展信息诈骗或是窃取真实身份信息,这种有目的性的电子邮箱钓鱼攻击和黑进帐户的例子早已许多。
Bitglass 的首席技术官 Anurag Kahol 提议,公司应保证它们对客户资料有充足的熟悉和把控度。
适度得选用即时密钥管理、数据格式数据加密并配备可以检验一切配备不正确的云安全策略。
