专栏首页运维之美Elasticsearch 再发数据泄露事件,包含 27 亿邮箱数据和10 亿明文密码,波及多家中国大厂用户数据!

Elasticsearch 再发数据泄露事件,包含 27 亿邮箱数据和10 亿明文密码,波及多家中国大厂用户数据!

就在不到一个月之前,安全人员 Bob Diachenko 和 Vinny Troia 发现了一个公开可访问的 Elasticsearch 服务器,其中包含 12 亿用户账户,该服务器被公开在暗网上。大部分泄露的原因都是 Elasticsearch 服务器没有设置密码保护。

Elasticsearch 服务器 12 亿个人数据遭泄露的事件刚刚过去不久,新一轮的数据泄露事件便再度发生,这次,研究人员在不安全的云存储服务器中,总共发现了 27 亿个电子邮件地址, 10 亿个电子邮件账户密码以及一个装载了近 80 万份出生证明副本的应用程序。

Diachenko 称:“单就数字而言,这可能是我所看到的泄露数据最庞大的一次。”

SecurityDiscovery 网站的安全研究人员 Bob Diachenko 称,在上周发现了一个巨大的 ElasticSearch 数据库,包含超过 27 亿个电邮地址,其中有 10 亿个的密码都是简单的明文。大多数被盗的邮件域名都来自中国的邮件提供商,比如腾讯、新浪、搜狐和网易。一些雅虎、Gmail 以及一些俄罗斯邮件域名也受了影响。这些被盗的电邮及密码也与 2017 年那次大型的被盗事件有关,当时有黑客直接将它们放在暗网上售卖。

该 ElasticSearch 服务器属于美国的一个托管服务中心,该数据泄露的 Elasticsearch 数据库被发现的情况为:

  • 2019 年 12 月 1 日:该数据库首先由 BinaryEdge 搜索引擎建立索引,此后公开可用。
  • 2019 年 12 月 4 日:Diachenko 发现了数据库,并立即采取措施通知责任方。
  • 2019 年 12 月 9 日:禁止访问数据库。

但即使如此,它已经开放了至少一周,并且允许任何人在无密码的情况下进行访问。

被泄露的 27 亿个电子邮件地址目前无法证实是否为有效地址,但其来源确属违规。 Diachenko 认为,这些电子邮件往往不会引起企业的重视,但实际上电子邮件账户会受到攻击的可能性更高。

目前尚不清楚到底谁公开了数据库,这有可能是黑客,也有可能就是安全研究人员。但无论哪种方式,该行为都忽视了 ElasticSearch 原本提供的安全性选项,这只是许多忽略保护云存储安全重要性示例中的另一个。

Diachenko 在研究中发现一个线索,数据库的所有者用每个地址的 MD5 、 SHA1 和 SHA 256 散列对偷来的电子邮件地址进行了操作,这很有可能是为了方便在数据库中进行搜索。这种情况很像是原本买下了该数据库的某人本试图启动其搜索功能,却被错误配置成了公开可用。

位于公共互联网上的配置错误和暴露的数据,足以造成攻击事件发生。黑客可以对所有者进行信息欺诈或者盗取身份信息,这类有针对性的电子邮件网络钓鱼和黑进账户的案例已经很多。

Elasticsearch 开源版本是不具备任何数据保护功能的,只有基本的攻击保护,例如防火墙。Bitglass 的首席技术官 Anurag Kahol 建议,企业应确保他们对客户数据有充分的了解和把控度。适当的采用实时访问控制、静态数据加密并配置可以检测任何配置错误的云安全设置。

如何预防数据泄露呢?

首先,Elasticsearch 开源版本是不具备任何数据保护功能的。不过,Elasticsearch 产品的提供商 Elastic 为订阅用户提供了相关的数据保护功能,例如认证和授权、数据加密(通讯加密)、审计合规等。如果自己搞不定安全问题,选择商业版本也是一条不错的路子。

如果只想开源版本,技术专家也给出了几个低成本的防止数据泄露的措施:

1)服务器必须要有防火墙,不能随意对外开放端口;

2)Elasticsearch 集群的端口包括 TCP 和 HTTP,都不能暴露在公网;

3)Elasticsearch 集群禁用批量删除索引功能;

4)Elasticsearch 中保存的数据要做基本的脱敏处理;

5)加强监控和告警,能够在安全事件发生的第一时间感知并启动紧急预案,将损失降到最低。

参考文档

1. https://www.google.com

2. https://url.cn/5JZL6Ax

3. https://url.cn/5vApW46

本文分享自微信公众号 - 运维之美(Hi-Linux),作者:Mike

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-12-15

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 命令行的艺术

    熟练使用命令行是一种常常被忽视,或被认为难以掌握的技能,但实际上,它会提高你作为工程师的灵活性以及生产力。本文是一份我在 Linux 上工作时,发现的一些命令...

    iMike
  • 使用 KubeSphere 轻松实现微服务灰度发布与熔断

    KubeSphere® 是在目前主流容器调度平台 Kubernetes 之上构建的企业级分布式多租户容器管理平台,提供简单易用的操作界面以及向导式操作方式,在降...

    iMike
  • 你是否经常忘记 Linux 计划任务 Crontab 复杂的语法格式呢,用上这款神器后再也不用担心了!

    Linux / Unix 系统里有一个很方便的程序「例行性计划任务」(Crontab),接触过的朋友一定不陌生。Crontab 主要是让系统去执行一些固定时间要...

    iMike
  • NOSQL(一)--Redis

    简介最近开始接触NoSQL,翻译过来就是 not only sql,非关系型数据库吧。其中主要有四大类NoSQL,今天我们介绍其中的一种键值对的NoSQL:Re...

    用户1217611
  • Mysql主从同步

    大多数人都很清楚,在高并发的时候,如果所有的数据库操作都只通过一台数据库来操作,那数据库很大程度可能出现宕机,而宕机就有可能导致数据丢失,造成不良后果。所以在并...

    逆月翎
  • Git忽略规则.gitignore不生效

    在项目开发过程中个,一般都会添加 .gitignore 文件,规则很简单,但有时会发现,规则不生效。

    JouyPub
  • Docker入门

    docker 在线测试网站: play With Docker,这是一个可以用来在线练习 docker 指令的网站,具备一切 docker 环境,不用为环境而...

    jinghong
  • [Redis] redis在centos下安装测试

    wget http://download.redis.io/releases/redis-3.0.0.tar.gz

    陶士涵
  • 推荐一个实用的 .gitignore 文件

    常用的版本控制工具,不管是使用 git 还是 svn,我们都需要排除一些与程序代码无关的文件,如像 eclipse/ intellij idea 等 IDE 工...

    Java技术栈
  • R 语言线性回归应用:拟合 iOS 录音波形图

    刘笑江

扫码关注云+社区

领取腾讯云代金券