一個月被曝五次數據泄露，ElasticSearch怎麼回事？

作者 | 田曉旭

數據泄露是每個公司和用戶的噩夢，可是誰能想到短短的一個月時間內，ElasticSearch 已經發生了五起數據泄露事件，而且泄露數據的輻射面都不算小。這是怎麼回事兒？

1

2019 年 1 月，Cloudflare Trust & Safety Director Justin Paine 發布消息稱，他通過 Shodon 搜索引擎找到了加州 IP 語音服務商的 ElasticSearch 資料庫，該資料庫可用於在線查找連接互聯網的設備和系統，通過簡單操作就可以找到大量的資料庫。

這次數據泄露不僅包括 VOIPO 呼叫日誌，同時還包括 SMS / MMS 消息記錄和明文內部系統憑證。其中，共有 670 萬個文檔中包含有呼叫日誌，日誌內容涉及部分原始號碼、部分目的地號碼、時間戳和呼叫持續時間等詳細信息；600 萬條可追溯到 2015 年的簡訊和彩信日誌，包括時間戳和消息內容；200 萬個日誌文檔引用了內部系統的主機名，明文用戶名和密碼以及 API 密鑰；用於 VOIPO 會話的設備信息也被泄露，內部包括設備 IP 地址、MAC 地址、時間戳和使用價值。

2

AIESEC 是一家非營利組織，自稱是「世界上最大的青年組織」，AIESEC 有 10 萬多會員，遍及 126 個國家。1 月 11 日，獨立安全研究人員鮑勃·迪亞琴科（Bob Diachenko）在 Elasticsearch 找到一個未受保護的資料庫，裡面包含 AIESEC 申請人的信息，具體包括申請人的名字、性別、出生年月、申請實習原因等信息，還有申請被拒的時間。值得注意的是，這些信息不需要密碼就可以獲取。

3

安全研究員 Justin Paine 發現了一個沒有密碼保護的 ElasticSearch 伺服器，該伺服器不需要身份驗證且很明顯信息來源於在線投注門戶網站。據報道，這次數據泄露包含了超過 1.08 億筆投注信息，信息包括有客戶個人資料，存取款記錄、家庭住址、電話號碼、電子郵件地址、出生日期、網站用戶名、帳戶餘額、IP 地址、瀏覽器、操作系統信息、上次登錄信息和遊戲列表，甚至包含當前投注、獲勝、用於交易的銀行卡等等。值得慶幸的是，ElasticSearch 伺服器中交易銀行卡詳細信息被部分加密，沒有公開完整財務細節；壞消息是任何發現資料庫的人都會知道最近贏得大筆金錢的玩家姓名、家庭住址和電話號碼，並且可能已將這些作為詐騙或勒索的目標用戶。

4

據 1 月 24 日的外媒報道，因為伺服器出現安全漏洞，美國多家大銀行、2400 多萬份金融及銀行資料遭泄露。據悉，受影響伺服器上運行的是 Elasticsearch 資料庫，其中包含了 10 多年的歷史數據，比如貸款和抵押貸款協議、還款計劃、敏感財務及稅務文檔。這些文件沒有受到密碼的保護，任何人都可以查閱。

據報道稱，該資料庫只暴露了 2 周，1 月 15 日就被保護起來了。不過，意外的是，1 月 15 日，供應商在配置伺服器時有出現了錯誤，導致一些與抵押貸款有關的文檔泄露，目前泄露源 Ascension 的母公司 Rocktop Partners 正在與第三方專家合作展開調查。

5

對於大型連鎖超市來說，盜竊案件雖不能說是司空見慣，但也是時有發生，所以，一般他們都會創建資料庫來存儲相關信息，例如竊取者姓名、被盜物品、被盜物品的價值以及是從哪家商店盜竊的等等。

近日，Ctrlbox 的安全專家爆料稱，英國著名的家居建材零售商 B&Q 在追蹤罪犯和盜竊行為的資料庫方面一直很粗心，其中有一個放在資料庫中記錄了 70000 多名盜竊者的相關信息，本來應該是只能在 B&Q 內部訪問的，但是因為沒有設置密碼導致所有人都可以訪問。

據悉，這個資料庫是放在 ElasticSearch 伺服器上的，由於資料庫中存放的數據是高度敏感的數據，所以一旦草率落入壞人手中，可能會引起嚴重後果。B&Q 對此事的處理也不是很積極，有報道稱，漏洞發現者曾多次聯繫 B&Q 方面的工作人員，但是 B&Q 在得知消息的兩周後才下線了 ElasticSearch 伺服器。

一個月時間，被曝出五起數據泄露事件，作為主角的 ElasticSearch 難免會讓人產生質疑，但是比起追責和質疑，當務之急是補救。筆者曾看到有博客發文列出了數據泄露發生之後最應該做的三件事情：

1. 一定要有計劃的行事，不要盲目做事

如果發生數據泄露或網路攻擊，第一時間是要搞清楚問題發生的原因，要確定數據泄露的發生形式，是勒索軟體攻擊、系統上的惡意軟體、帶有開放埠的防火牆，過時的軟體還是無意的內部威脅。確定攻擊方式之後，為了防止因錯誤決定導致情況惡化，最好是由決策人來負責指導回復計劃，如果沒有計劃的話，也可聯繫有處理經驗的專家、顧問或代理機構。

2. 不要忽視數據泄露的嚴重性

當發生數據泄露時，我們要正視這個事實，甚至在有必要的時候，要及時通知員工、合作夥伴和客戶，誠實、開放、透明地解釋清楚泄露是如何發生的以及未來的補救措施，即使可能需要專業機構或顧問幫助制定事件響應計劃，也要確保員工能夠有正確的渠道獲取信息。

3. 明確了解事件的前因後果

了解事件發生的前因後果是防止下次攻擊或數據泄露的關鍵，我們需要了解哪些系統和數據受到了影響，採取何種辦法解決問題，在最終復盤的時候，要明確哪些工作作對了，哪些做錯了。

點個好看少個bug

??

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！