专栏首页CU技术社区27 亿电子邮件地址外泄!ElasticSearch数据库再次中招

27 亿电子邮件地址外泄!ElasticSearch数据库再次中招

数据泄露事件近年来时有发生,哪怕是大体量的Facebook也未能幸免。可以说数据泄露无论是对用户还是对企业来讲都造成了一定的损失和影响。针对频频发生的数据泄露事件,不少企业都加大网络安全建设力度,也起到了一定的成效,但数据泄露事件依旧屡禁不止。

近日,基于Lucene的搜索服务器ElasticSearch被曝数据泄露,而此次数据泄露的体量之大令人咋舌,其中包括有27 亿个电子邮件地址, 10 亿个电子邮件账户密码以及一个装载了近 80 万份出生证明副本的应用程序。

根据资料显示,本次被盗的27亿个电子邮箱地址中,有10亿个密码都是简单明文进行存储。最令人担忧的是,大部分被盗的邮件域名都来自于中国的邮件提供商,其中不乏腾讯、新浪、搜狐和网易等邮件提供商。当然,诸如雅虎、Gmail以及俄罗斯的邮件域名也未能“幸免于难”。

而这也不是ElasticSearch数据库首次遭到泄露,早在2018年12月份,ElasticSearch就曾被曝在没有密码开放的状态下泄露了将近5700万美国民众的个人信息,数据量超过73GB。而在这一年间,ElasticSearch数据库的数据泄露事件也接二连三发生,不少用户对ElasticSearch 服务器的安全性表示质疑。而本次数据泄露事件的爆发再次将ElasticSearch 推到了风口浪尖。

有研究人员表示,过去一年企业无意识的让他们的 Amazon Web 服务 S3 和基于云计算的 ElasticSearch 存储桶暴露出来。它们没有任何适当的安全措施,也没有被试图锁定的迹象。

研究人员表示,本次遭到泄露的 27 亿个电子邮件地址尚无法证实是否有效。但其来源确属违规已成定局。

根据消息显示,除了电子邮件地址和密码,本次泄露的数据还包括有电子邮件地址的 MD5,SHA1以及SHA256 散列。哈希加密的电子邮件地址文本具有固定的长度,因为存储文本数据风险太大,所以往往会用来安全存储数据,泄露数据库的所有者用每个地址的 MD5、SHA1以及SHA256 散列对电子邮件地址进行了操作,很大可能是用来简化关系数据库的搜索。

对于本次数据泄露事件,尚不清楚是如何被泄露,究竟是内鬼所为还是黑客渗透还无法进行相关验证。但足以说明ElasticSearch服务器的安全性还无法达到令人满意的效果。

本文分享自微信公众号 - CU技术社区(ChinaUnix2013),作者:高博

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-12-13

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Linux 系统 UDP 丢包问题分析思路

    最近工作中遇到某个服务器应用程序 UDP 丢包,在排查过程中查阅了很多资料,我在排查过程中基本都是通过使用 tcpdump 在出现问题的各个环节上进行抓包、分析...

    用户6543014
  • 从RedHat到MongoDB,开源商业软件是如何占领世界的

    如今开源软件已经遍地开花,其中独角兽就有估值65亿美元的Mulesoft、估值40亿美元的MongoDB等。IBM去年也以320亿美元收购了Redhat。

    用户6543014
  • Oracle分析函数实战

    分析函数是带over的,对每行都应用分析函数,然后分析函数根据排序规则(没有排序就是没有顺序的规则,order by就是起到一个分析函数在行上滑动方向的作用)按...

    用户6543014
  • 优化Power BI中的Power Query合并查询效率,Part 2:合并查询前or后删除多余的列有区别吗?

    中讲解了在Power BI中对两个表进行合并查询,数据集大小影响了效率。尤其是在进行合并查询之前删除了不需要的列,可以较大地提升合并查询的效率。但是我们不禁要问...

    陈学谦
  • 人类历史上最有影响力的5张信息图

    大数据文摘
  • 30.4. 企业级开发进阶2.4:服务端快捷开发

    我们可以看到客户端程序的编写相对容易,主需要连接服务端然后跟服务端进行数据交互就OK了。但是服务端的程序编写较为复杂,如果考虑到数据的并发处理等各种问题,就更加...

    大牧莫邪
  • 详解Android View的事件体系 之View基础(二)

    掌握View的事件体系是Android 向高级迈向的必经之路,本片博客讲解Android View的相关基础知识第二部分,后面我们会为大家讲解View事件体系、...

    黄林晴
  • 大数据开发的工具有哪些?

    作为一个大数据开发人员,每天要与使用大量的大数据工具来完成日常的工作,那么目前主流的大数据开发工具有哪些呢?加米谷大数据为大家介绍下大数据开发工具

    加米谷大数据
  • 网络02-搬砖必备技能

    特别注意:半双工模式下,共享物理介质或者信道的通信双发必须采用CSMA/CD类避免冲突。有点类似大学那会宿舍一个公共电话,好多人都眼巴巴的等着给女朋友打电话,内...

    大话IT架构
  • 使用Python简单模拟Linux系统的tree工具

    Linux系统中有个tree工具可以用比较好看的形式来显示指定文件夹的目录结构。例如下图(来自于网络): ? 本文代码使用Python对Linux系统的tree...

    Python小屋屋主

扫码关注云+社区

领取腾讯云代金券