2019 年 12 月 12 日，又是讓人無語的 Elasticsearch 服務(wù)器，不到兩周時(shí)間，新一輪的數(shù)據(jù)泄露事件便再度發(fā)生!

最近的一次 Elasticsearch 信息泄漏

這次，研究人員在不安全的云存儲桶中，總共發(fā)現(xiàn)了 27 億個電子郵件地址，10 億個電子郵件賬戶密碼以及一個裝載了近 80 萬份出生證明副本的應(yīng)用程序。

[[285506]]

研究人員稱，過去一年里，一些企業(yè)無意識得讓他們的 Amazon Web 服務(wù) S3 和基于云計(jì)算的 Elasticsearch 存儲桶暴露出來。它們沒有任何適當(dāng)?shù)陌踩胧矝]有被試圖鎖定的跡象。

Security Discovery 網(wǎng)站的網(wǎng)絡(luò)威脅情報(bào)總監(jiān)鮑勃·迪亞琴科(Bob Diachenko)稱，我們在上周發(fā)現(xiàn)了一個巨大的 Elasticsearch 數(shù)據(jù)庫，包含超過 27 億個電郵地址，其中有 10 個的密碼都是簡單的明文。

大多數(shù)被盜的郵件域名都來自中國的郵件提供商，比如騰訊、新浪、搜狐和網(wǎng)易。當(dāng)然，雅虎 Gmail 和一些俄羅斯郵件域名也受了影響。

這些被盜的電郵及密碼也與 2017 年那次大型的被盜事件有關(guān)，當(dāng)時(shí)有黑客直接將它們放在暗網(wǎng)上售賣。

[[285508]]

該 Elasticsearch 服務(wù)器屬于美國的一個托管服務(wù)中心，后者在 Diachenko 發(fā)布數(shù)據(jù)庫存儲安全報(bào)告后于 12 月 9 日被關(guān)閉。

但即使如此，它已經(jīng)開放了至少一周，并且允許任何人在無密碼的情況下進(jìn)行訪問。

Diachenko 稱，單就數(shù)字而言，這可能是我所看到的記錄數(shù)據(jù)最龐大的一次(他自 2018 年以來發(fā)掘了多次數(shù)據(jù)泄露事件，其中包括 2.75 億個印度公民信息的數(shù)據(jù)庫)。

被泄露的 27 億個電子郵件地址目前無法證實(shí)是否為有效地址，但其來源確屬違規(guī)。

Diachenko 認(rèn)為，這些電子郵件往往不會引起企業(yè)的重視，但實(shí)際上電子郵件賬戶會受到攻擊的可能性更高。

因?yàn)檫@些電子郵件一旦引發(fā)攻擊行為，用戶通常不會受到警報(bào)，原因在于國內(nèi)的防火墻阻止了檢查電子郵件泄露的服務(wù)。

目前尚不清楚到底誰公開了數(shù)據(jù)庫，這有可能是黑客，也有可能就是安全研究人員。

但無論哪種方式，該行為都忽視了 Elasticsearch 原本提供的安全性選項(xiàng)，這只是許多忽略保護(hù)云存儲安全重要性示例中的另一個。

Diachenko 在研究中發(fā)現(xiàn)一個線索，數(shù)據(jù)庫的所有者用每個地址的 MD5、SHA1 和 SHA256 散列對偷來的電子郵件地址進(jìn)行了操作，這很有可能是為了方便在數(shù)據(jù)庫中進(jìn)行搜索。

這種情況很像是原本買下了該數(shù)據(jù)庫的某人本試圖啟動其搜索功能，卻被錯誤配置成了公開可用。

與此同時(shí)，英國滲透測試公司 Fidus Information Security 的研究人員在 AWS S3 存儲桶中發(fā)現(xiàn)了近 80 萬份美國出生證明復(fù)印件的在線申請，該存儲桶屬于一家提供出生和死亡證明復(fù)印件服務(wù)的公司。bucket 沒有密碼保護(hù)，因此對任何人都是開放的。

有趣的是，據(jù) TechCrunch 稱，研究人員無法訪問存儲桶中的 94000 個死亡證明副本應(yīng)用程序數(shù)據(jù)庫。

TechCrunch 發(fā)現(xiàn)，該應(yīng)用程序中包含的數(shù)據(jù)可以追溯到 2017 年末，泄露數(shù)據(jù)的范圍包括姓名、出生日期、地址、電子郵件地址、電話號碼和其他個人數(shù)據(jù)。

Fidus 主管 Andrew Mabbitt 稱，他的公司在從事 AWS S3 項(xiàng)目時(shí)發(fā)現(xiàn)了數(shù)據(jù)。

該存儲桶經(jīng)過配置，可以實(shí)現(xiàn)對外界的開放可讀，允許具有 URL 的任何人獲得所有文件的完整列表。

截止目前，該程序庫仍然保持公開狀態(tài)。研究人員稱，在多次聯(lián)系 Amazon AWS 安全團(tuán)隊(duì)后，后者表示已將報(bào)告?zhèn)鬟f給存儲桶所有者，并建議盡快采取措施。但是，所有者似乎忽略了這些消息，至今沒有任何回復(fù)。

[[285509]] 

位于公共互聯(lián)網(wǎng)上的配置錯誤和暴露的數(shù)據(jù)，足以造成攻擊事件發(fā)生。黑客可以對所有者進(jìn)行信息欺詐或者盜取身份信息，這類有針對性的電子郵件網(wǎng)絡(luò)釣魚和黑進(jìn)賬戶的案例已經(jīng)很多。

Bitglass 的首席技術(shù)官 Anurag Kahol 建議，企業(yè)應(yīng)確保他們對客戶數(shù)據(jù)有充分的了解和把控度。

適當(dāng)?shù)貌捎脤?shí)時(shí)訪問控制、靜態(tài)數(shù)據(jù)加密并配置可以檢測任何配置錯誤的云安全設(shè)置。