Elasticsearch 27億數據泄露：10億明文 波及中國大廠

上次，有媒體報道了Elasticsearch服務器12億個人數據遭泄露的事件，你們都說好怕怕。

但是，泄露這事真的沒有上限。

又是讓人無語的Elasticsearch服務器，不到兩周時間，新一輪的數據泄露事件便再度發(fā)生。這次，研究人員在不安全的云存儲桶中，總共發(fā)現了27億個電子郵件地址、10億個電子郵件賬戶密碼，以及一個裝載了近80萬份出生證明副本的應用程序。

研究人員稱，過去一年里，一些企業(yè)無意識得讓他們的Amazon Web服務S3和基于云計算的ElasticSearch存儲桶暴露出來。它們沒有任何適當的安全措施，也沒有被試圖鎖定的跡象。

SecurityDiscovery網站的網絡威脅情報總監(jiān)鮑勃·迪亞琴科（Bob Diachenko）稱，我們在上周發(fā)現了一個巨大的ElasticSearch數據庫，包含超過27億個電郵地址，其中有10億個的密碼都是簡單的明文。

大多數被盜的郵件域名都來自中國的郵件提供商，比如騰訊、新浪、搜狐和網易。

當然，雅虎gmail和一些俄羅斯郵件域名也受了影響。這些被盜的電郵及密碼也與2017年那次大型的被盜事件有關，當時有黑客直接將它們放在暗網上售賣。

該ElasticSearch服務器屬于美國的一個托管服務中心，后者在Diachenko發(fā)布數據庫存儲安全報告后于12月9日被關閉。但即使如此，它已經開放了至少一周，并且允許任何人在無密碼的情況下進行訪問。

Diachenko稱，單就數字而言，這可能是他所看到的記錄數據最龐大的一次（他自2018年以來發(fā)掘了多次數據泄露事件，其中包括2.75億個印度公民信息的數據庫）。

被泄露的27億個電子郵件地址目前無法證實是否為有效地址，但其來源確屬違規(guī)。Diachenko認為，這些電子郵件往往不會引起企業(yè)的重視，但實際上電子郵件賬戶會受到攻擊的可能性更高。

因為這些電子郵件一旦引發(fā)攻擊行為，用戶通常不會受到警報，原因在于國內的防火墻阻止了檢查電子郵件泄露的服務。

目前尚不清楚到底誰公開了數據庫，這有可能是黑客，也有可能就是安全研究人員，但無論哪種方式，該行為都忽視了ElasticSearch原本提供的安全性選項，這只是許多忽略保護云存儲安全重要性示例中的另一個。

Diachenko在研究中發(fā)現一個線索，數據庫的所有者用每個地址的MD5、SHA1和SHA256散列對偷來的電子郵件地址進行了操作，這很有可能是為了方便在數據庫中進行搜索。

這種情況很像是原本買下了該數據庫的某人本試圖啟動其搜索功能，卻被錯誤配置成了公開可用。

與此同時，英國滲透測試公司Fidus Information Security的研究人員在AWS S3存儲桶中發(fā)現了近80萬份美國出生證明復印件的在線申請，該存儲桶屬于一家提供出生和死亡證明復印件服務的公司。bucket沒有密碼保護，因此對任何人都是開放的。

有趣的是，據TechCrunch稱，研究人員無法訪問存儲桶中的94000個死亡證明副本應用程序數據庫。

TechCrunch發(fā)現，該應用程序中包含的數據可以追溯到2017年末，泄露數據的范圍包括姓名、出生日期、地址、電子郵件地址、電話號碼和其他個人數據。

Fidus主管Andrew Mabbitt稱，他的公司在從事AWS S3項目時發(fā)現了數據。該存儲桶經過配置，可以實現對外界的開放可讀，允許具有URL的任何人獲得所有文件的完整列表。

截止目前，該程序庫仍然保持公開狀態(tài)。研究人員稱，在多次聯系Amazon AWS安全團隊后，后者表示已將報告?zhèn)鬟f給存儲桶所有者，并建議盡快采取措施。但是，所有者似乎忽略了這些消息，至今沒有任何回復。

位于公共互聯網上的配置錯誤和暴露的數據，足以造成攻擊事件發(fā)生。黑客可以對所有者進行信息欺詐或者盜取身份信息，這類有針對性的電子郵件網絡釣魚和黑進賬戶的案例已經很多。

Bitglass的首席技術官Anurag Kahol建議，企業(yè)應確保他們對客戶數據有充分的了解和把控度。適當得采用實時訪問控制、靜態(tài)數據加密并配置可以檢測任何配置錯誤的云安全設置。