Elasticsearch27亿数据泄露 安全资讯

admin 10月前 154

Elasticsearch 服务器在不到两周时间,新的一轮的数据泄露事件便再度发生,这次,研究人员在不安全的云存储桶中,总共发现了 27 亿个电子邮件地址,10亿个电子邮件账户密码以及一个装载了近80万份出生证明副本的应用程序。

       研究人员称,过去一年里,一些企业无意识得让他们的Amazon Web服务S3和基于云计算的ElasticSearch存储桶暴露出来。它们没有任何适当的安全措施,也没有被试图锁定的迹象。

       SecurityDiscovery网站的网络威胁情报总监鲍勃•迪亚琴科(Bob Diachenko)称,我们在上周发现了一个巨大的ElasticSearch数据库,包含超过27亿个电邮地址,其中有10个的密码都是简单的明文。这些被盗的电邮及密码也与2017年那次大型的被盗事件有关,当时有黑客直接将它们放在暗网上售卖。

       该ElasticSearch服务器属于美国的一个托管服务中心,后者在Diachenko发布数据库存储安全报告后于12月9日被关闭。但即使如此,它已经开放了至少一周,并且允许任何人在无密码的情况下进行访问。

       Diachenko称,单就数字而言,这可能是我所看到的记录数据最庞大的一次(他自2018年以来发掘了多次数据泄露事件,其中包括2.75亿个印度公民信息的数据库)。

       被泄露的27亿个电子邮件地址目前无法证实是否为有效地址,但其来源确属违规。Diachenko认为,这些电子邮件往往不会引起企业的重视,但实际上电子邮件账户会受到攻击的可能性更高。

       目前尚不清楚到底谁公开了数据库,这有可能是黑客,也有可能就是安全研究人员。但无论哪种方式,该行为都忽视了ElasticSearch原本提供的安全性选项,这只是许多忽略保护云存储安全重要性示例中的另一个。

       Diachenko在研究中发现一个线索,数据库的所有者用每个地址的MD5、SHA1和SHA256散列对偷来的电子邮件地址进行了操作,这很有可能是为了方便在数据库中进行搜索。

       这种情况很像是原本买下了该数据库的某人本试图启动其搜索功能,却被错误配置成了公开可用。

       与此同时,英国渗透测试公司Fidus Information Security的研究人员在AWS S3存储桶中发现了近80万份美国出生证明复印件的在线申请,该存储桶属于一家提供出生和死亡证明复印件服务的公司。bucket没有密码保护,因此对任何人都是开放的。

       有趣的是,据TechCrunch称,研究人员无法访问存储桶中的94000个死亡证明副本应用程序数据库。

       TechCrunch发现,该应用程序中包含的数据可以追溯到2017年末,泄露数据的范围包括姓名、出生日期、地址、电子邮件地址、电话号码和其他个人数据。

       Fidus主管Andrew Mabbitt称,他的公司在从事AWS S3项目时发现了数据。该存储桶经过配置,可以实现对外界的开放可读,允许具有URL的任何人获得所有文件的完整列表。

       截止目前,该程序库仍然保持公开状态。研究人员称,在多次联系Amazon AWS安全团队后,后者表示已将报告传递给存储桶所有者,并建议尽快采取措施。但是,所有者似乎忽略了这些消息,至今没有任何回复。

       位于公共互联网上的配置错误和暴露的数据,足以造成攻击事件发生。黑客可以对所有者进行信息欺诈或者盗取身份信息,这类有针对性的电子邮件网络钓鱼和黑进账户的案例已经很多。

       Bitglass的首席技术官Anurag Kahol建议,企业应确保他们对客户数据有充分的了解和把控度。适当得采用实时访问控制、静态数据加密并配置可以检测任何配置错误的云安全设置。


少客联盟- 版权声明 1、本主题所有言论和图片纯属会员个人意见,与少客联盟立场无关。
2、本站所有主题由该帖子作者发表,该帖子作者admin少客联盟享有帖子相关版权。
3、少客联盟管理员和版主有权不事先通知发贴者而删除本文。
4、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者admin少客联盟的同意。
5、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任。
6、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责。
7、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意。
8、官方反馈邮箱:chinasuc@chinasuc.cn


上一篇:Weidmueller修复其多款工业交换机的多个漏洞
下一篇:新发现的Mac恶意软件使用“无文件”感染保持隐身状态
Whatever is worth doing is worth doing well. juvenile hacker league
最新回复 (0)
    • 少客联盟
      2
        登录 注册 QQ登录(停用)
返回