Elasticsearch 再发数据泄露事件，包含 27 亿邮箱数据和10 亿明文密码，波及多家中国大厂用户数据！

就在不到一个月之前，安全人员 Bob Diachenko 和 Vinny Troia 发现了一个公开可访问的 Elasticsearch 服务器，其中包含 12 亿用户账户，该服务器被公开在暗网上。大部分泄露的原因都是 Elasticsearch 服务器没有设置密码保护。

Elasticsearch 服务器 12 亿个人数据遭泄露的事件刚刚过去不久，新一轮的数据泄露事件便再度发生，这次，研究人员在不安全的云存储服务器中，总共发现了 27 亿个电子邮件地址， 10 亿个电子邮件账户密码以及一个装载了近 80 万份出生证明副本的应用程序。

Diachenko 称：“单就数字而言，这可能是我所看到的泄露数据最庞大的一次。”

SecurityDiscovery 网站的安全研究人员 Bob Diachenko 称，在上周发现了一个巨大的 ElasticSearch 数据库，包含超过 27 亿个电邮地址，其中有 10 亿个的密码都是简单的明文。大多数被盗的邮件域名都来自中国的邮件提供商，比如腾讯、新浪、搜狐和网易。一些雅虎、Gmail 以及一些俄罗斯邮件域名也受了影响。这些被盗的电邮及密码也与 2017 年那次大型的被盗事件有关，当时有黑客直接将它们放在暗网上售卖。

该 ElasticSearch 服务器属于美国的一个托管服务中心，该数据泄露的 Elasticsearch 数据库被发现的情况为：

• 2019 年 12 月 1 日：该数据库首先由 BinaryEdge 搜索引擎建立索引，此后公开可用。
• 2019 年 12 月 4 日：Diachenko 发现了数据库，并立即采取措施通知责任方。
• 2019 年 12 月 9 日：禁止访问数据库。

但即使如此，它已经开放了至少一周，并且允许任何人在无密码的情况下进行访问。

被泄露的 27 亿个电子邮件地址目前无法证实是否为有效地址，但其来源确属违规。 Diachenko 认为，这些电子邮件往往不会引起企业的重视，但实际上电子邮件账户会受到攻击的可能性更高。

目前尚不清楚到底谁公开了数据库，这有可能是黑客，也有可能就是安全研究人员。但无论哪种方式，该行为都忽视了 ElasticSearch 原本提供的安全性选项，这只是许多忽略保护云存储安全重要性示例中的另一个。

Diachenko 在研究中发现一个线索，数据库的所有者用每个地址的 MD5 、 SHA1 和 SHA 256 散列对偷来的电子邮件地址进行了操作，这很有可能是为了方便在数据库中进行搜索。这种情况很像是原本买下了该数据库的某人本试图启动其搜索功能，却被错误配置成了公开可用。

位于公共互联网上的配置错误和暴露的数据，足以造成攻击事件发生。黑客可以对所有者进行信息欺诈或者盗取身份信息，这类有针对性的电子邮件网络钓鱼和黑进账户的案例已经很多。

Elasticsearch 开源版本是不具备任何数据保护功能的，只有基本的攻击保护，例如防火墙。Bitglass 的首席技术官 Anurag Kahol 建议，企业应确保他们对客户数据有充分的了解和把控度。适当的采用实时访问控制、静态数据加密并配置可以检测任何配置错误的云安全设置。

如何预防数据泄露呢？

首先，Elasticsearch 开源版本是不具备任何数据保护功能的。不过，Elasticsearch 产品的提供商 Elastic 为订阅用户提供了相关的数据保护功能，例如认证和授权、数据加密（通讯加密）、审计合规等。如果自己搞不定安全问题，选择商业版本也是一条不错的路子。

如果只想开源版本，技术专家也给出了几个低成本的防止数据泄露的措施：

1）服务器必须要有防火墙，不能随意对外开放端口；

2）Elasticsearch 集群的端口包括 TCP 和 HTTP，都不能暴露在公网；

3）Elasticsearch 集群禁用批量删除索引功能；

4）Elasticsearch 中保存的数据要做基本的脱敏处理；

5）加强监控和告警，能够在安全事件发生的第一时间感知并启动紧急预案，将损失降到最低。

参考文档

1. https://www.google.com

2. https://url.cn/5JZL6Ax

3. https://url.cn/5vApW46