一個月被曝五次數據洩露，ElasticSearch怎麽回事？

作者 | 田曉旭

數據洩露是每個公司和用戶的噩夢，可是誰能想到短短的一個月時間內，ElasticSearch 已經發生了五起數據洩露事件，而且洩露數據的異塵餘生面都不算小。這是怎麽回事兒？

1

VOIPO 超百萬的電話和簡訊數據洩露

2019 年 1 月，Cloudflare Trust & Safety Director Justin Paine 發布消息稱，他通過 Shodon 搜索引擎找到了加州 IP 語音服務商的 ElasticSearch 數據庫，該數據庫可用於在線查找連接互聯網的設備和系統，通過簡單操作就可以找到大量的數據庫。

這次數據洩露不僅包括 VOIPO 呼叫日誌，同時還包括 SMS / MMS 消息記錄和明文內部系統憑證。其中，共有 670 萬個文檔中包含有呼叫日誌，日誌內容涉及部分原始號碼、部分目的地號碼、時間戳和呼叫持續時間等詳細資訊；600 萬條可追溯到 2015 年的簡訊和彩信日誌，包括時間戳和消息內容；200 萬個日誌文檔引用了內部系統的主機名，明文用戶名和密碼以及 API 密鑰；用於 VOIPO 會話的設備資訊也被洩露，內部包括設備 IP 地址、MAC 地址、時間戳和使用價值。

2

青年學生組織 AIESEC 的 400 萬條志願者資訊洩露

AIESEC 是一家非營利組織，自稱是“世界上最大的青年組織”，AIESEC 有 10 萬多會員，遍及 126 個國家。1 月 11 日，獨立安全研究人員鮑勃·迪亞琴科（Bob Diachenko）在 Elasticsearch 找到一個未受保護的數據庫，裡麵包含 AIESEC 申請人的資訊，具體包括申請人的名字、性別、出生年月、申請實習原因等資訊，還有申請被拒的時間。值得注意的是，這些資訊不需要密碼就可以獲取。

3

在線賭場泄漏 1.08 億投注資訊

安全研究員 Justin Paine 發現了一個沒有密碼保護的 ElasticSearch 伺服器，該伺服器不需要身份驗證且很明顯資訊來源於在線投注門戶網站。據報導，這次數據洩露包含了超過 1.08 億筆投注資訊，資訊包括有客戶個人資料，存取款記錄、家庭住址、電話號碼、電子郵件地址、出生日期、網站用戶名、帳戶餘額、IP 地址、瀏覽器、作業系統資訊、上次登錄資訊和遊戲列表，甚至包含當前投注、獲勝、用於交易的銀行卡等等。值得慶幸的是，ElasticSearch 伺服器中交易銀行卡詳細資訊被部分加密，沒有公開完整財務細節；壞消息是任何發現數據庫的人都會知道最近贏得大筆金錢的玩家姓名、家庭住址和電話號碼，並且可能已將這些作為詐騙或勒索的目標用戶。

4

美國多家大銀行貸款檔案遭洩露，檔案數量達 2400 萬

據 1 月 24 日的外媒報導，因為伺服器出現安全漏洞，美國多家大銀行、2400 多萬份金融及銀行資料遭洩露。據悉，受影響伺服器上運行的是 Elasticsearch 數據庫，其中包含了 10 多年的歷史數據，比如貸款和抵押貸款協定、還款計劃、敏感財務及稅務文檔。這些檔案沒有受到密碼的保護，任何人都可以查閱。

據報導稱，該數據庫隻暴露了 2 周，1 月 15 日就被保護起來了。不過，意外的是，1 月 15 日，供應商在配置伺服器時有出現了錯誤，導致一些與抵押貸款有關的文檔洩露，目前洩露源 Ascension 的母公司 Rocktop Partners 正在與第三方專家合作展開調查。

5

百安居發生數據洩露，70000 起店內盜竊案的資訊流出

對於大型連鎖超市來說，盜竊案件雖不能說是司空見慣，但也是時有發生，所以，一般他們都會創建數據庫來存儲相關資訊，例如竊取者姓名、被盜物品、被盜物品的價值以及是從哪家商店盜竊的等等。

近日，Ctrlbox 的安全專家爆料稱，英國著名的家居建材零售商 B&Q 在追蹤罪犯和盜竊行為的數據庫方面一直很粗心，其中有一個放在數據庫中記錄了 70000 多名盜竊者的相關資訊，本來應該是只能在 B&Q 內部訪問的，但是因為沒有設定密碼導致所有人都可以訪問。

據悉，這個數據庫是放在 ElasticSearch 伺服器上的，由於數據庫中存放的數據是高度敏感的數據，所以一旦草率落入壞人手中，可能會引起嚴重後果。B&Q 對此事的處理也不是很積極，有報導稱，漏洞發現者曾多次聯繫 B&Q 方面的工作人員，但是 B&Q 在得知消息的兩周後才下線了 ElasticSearch 伺服器。

一個月時間，被曝出五起數據洩露事件，作為主角的 ElasticSearch 難免會讓人產生質疑，但是比起追責和質疑，當務之急是補救。筆者曾看到有部落格發文列出了數據洩露發生之後最應該做的三件事情：

1. 一定要有計劃的行事，不要盲目做事

如果發生數據洩露或網絡攻擊，第一時間是要搞清楚問題發生的原因，要確定數據洩露的發生形式，是勒索軟體攻擊、系統上的惡意軟體、帶有開放端口的防火牆，過時的軟體還是無意的內部威脅。確定攻擊方式之後，為了防止因錯誤決定導致情況惡化，最好是由決策人來負責指導回復計劃，如果沒有計劃的話，也可聯繫有處理經驗的專家、顧問或代理機構。

2. 不要忽視數據洩露的嚴重性

當發生數據洩露時，我們要正視這個事實，甚至在有必要的時候，要及時通知員工、合作夥伴和客戶，誠實、開放、透明地解釋清楚洩露是如何發生的以及未來的補救措施，即使可能需要專業機構或顧問幫助制定事件響應計劃，也要確保員工能夠有正確的管道獲取資訊。

3. 明確了解事件的前因後果

了解事件發生的前因後果是防止下次攻擊或數據洩露的關鍵，我們需要了解哪些系統和數據受到了影響，采取何種辦法解決問題，在最終複盤的時候，要明確哪些工作作對了，哪些做錯了。

封面妹子好看嗎？