據(jù)外媒報道，泰國移動運營商Advanced Info Service(AIS)子公司Advanced Wireless Network(AWN)控制的Elasticsearch數(shù)據(jù)庫可被公開訪問，數(shù)據(jù)庫中包含了約83億記錄，數(shù)據(jù)體量約為4.7 TB，每24小時增加2億記錄。

根據(jù)BinaryEdge的數(shù)據(jù)顯示，Elasticsearch數(shù)據(jù)庫于2020年5月1日首次被公開訪問，5月7日，安全研究員Justin Paine發(fā)現(xiàn)該數(shù)據(jù)庫可公開訪問。Justin Paine表示：“這不是未經(jīng)身份驗證就暴露給Internet的單個服務器。我找到的主數(shù)據(jù)庫分布在三個Elasticsearch節(jié)點組成的集群，另外，我還找到了第四個包含相似數(shù)據(jù)的Elasticsearch數(shù)據(jù)庫。”

據(jù)了解，該數(shù)據(jù)庫的數(shù)據(jù)量處于一直不斷增長的情況，每24小時會添加大約2億行新數(shù)據(jù)。截至2020年5月21日，數(shù)據(jù)庫中共存儲了8336189132條記錄，數(shù)據(jù)是NetFlow數(shù)據(jù)和DNS查詢?nèi)罩镜慕M合。

奇怪的是，DNS查詢僅記錄了8天(2020年4月30日到2020年5月7日)，共捕獲了3376062859個DNS查詢?nèi)罩?，每秒記?538個DNS事件，但不知出于何種原因，8天之后攻擊者突然停止了記錄DNS查詢。

1. 泄露的數(shù)據(jù)有何影響?

據(jù)了解，在整個數(shù)據(jù)庫暴露期間，NetFlow數(shù)據(jù)一直在被捕獲，泄露的數(shù)據(jù)中有50億行數(shù)據(jù)是NetFlow數(shù)據(jù)，以每秒3200個事件的速率被記錄。

注：NetFlow是思科公司開發(fā)的一種網(wǎng)絡協(xié)議，用于收集IP流量信息和監(jiān)控網(wǎng)絡流量。通過對流量數(shù)據(jù)的分析，可以建立網(wǎng)絡流量和流量的圖像。

NetFlow數(shù)據(jù)泄露有何影響呢?NetFlow信息記錄了哪個源IP將不同類型的流量發(fā)送到一個特定的目標IP，以及傳輸了多少數(shù)據(jù)。以下圖為例，這是對目標IP地址的HTTPS(TCP端口443)請求，我們對目標IP進行反向DNS查找，就可以快速識別此人將使用HTTPS的網(wǎng)站。

簡單來說，通過這些泄露的NetFlow數(shù)據(jù)，我們可以判斷出該IP所有者及家人的相關(guān)信息，包括擁有多少設(shè)備、設(shè)備的型號、使用過哪些軟件、訪問了哪些社交網(wǎng)站等等。

2. 如何避免這種情況呢?

相信很多人也發(fā)現(xiàn)了，這次發(fā)生泄露的數(shù)據(jù)庫又是Elasticsearch。由于不少開發(fā)人員及其團隊在認知上更多地把Elasticsearch看成是與MySQL同等的存儲系統(tǒng)，所以在部署以后并沒有太多地關(guān)心其訪問控制策略和數(shù)據(jù)安全，而且Elastisearch開箱即用的特點也讓開發(fā)和運維人員放松了對安全的重視，所以Elasticsearch數(shù)據(jù)泄露的比例很高。

如何避免呢?其實這也是個老生常談的問題了，我們曾多次建議大家采取以下措施：

• 服務器必須要有防火墻，不能隨意對外開放端口;
• Elasticsearch集群的端口包括TCP和HTTP，都不能暴露在公網(wǎng);
• Elasticsearch集群禁用批量刪除索引功能;
• Elasticsearch中保存的數(shù)據(jù)要做基本的脫敏處理;
• 加強監(jiān)控和告警，能夠在安全事件發(fā)生的第一時間感知并啟動緊急預案，將損失降到最低。

另外，由于這次泄露的數(shù)據(jù)主要是NetFlow數(shù)據(jù)，所以也需要針對此做出措施。ISP收集NetFlow數(shù)據(jù)是無法避免的，它們會跟蹤連接的來源和流量的目的地，但是DNS查詢?nèi)罩締栴}是可以解決的，建議使用DoH和DoT來保護DNS通信。據(jù)了解，目前Mozilla Firefox、谷歌Chrome、Internet Explorer Edge、Android都支持DoH和DoT，微軟的Windows 10也將很快支持。

隱私保護任重道遠

如今我們早已離不開互聯(lián)網(wǎng)，互聯(lián)網(wǎng)上記錄了大量我們的隱私。這就給互聯(lián)網(wǎng)服務提供者提出了巨大的挑戰(zhàn)，一方面他們想要獲取盡可能多的用戶信息，建立豐富完備的數(shù)據(jù)庫，一方面，當大量數(shù)據(jù)被保存下來之后，如何保護就成了一道難以逾越的坎。

盡管我們相信大部分互聯(lián)網(wǎng)公司都堅持向善的價值觀，但層出不窮的數(shù)據(jù)泄漏還是時刻敲打著我們的信任。而且，確實還是存在許多惡意利用個人數(shù)據(jù)的服務商，在他們的不懈破壞之下，我們的隱私越發(fā)岌岌可危。

所以，隱私保護依舊任重而道遠。對我們來說，在寄希望于互聯(lián)網(wǎng)服務商規(guī)范自身行為的同時，也需要多了解一些隱私保護的常識，避免自己在不可控的情況下，將隱私暴露在互聯(lián)網(wǎng)的蠻荒之地。

降低信息泄露的風險的方法：

• 不要隨意連接公共場合WiFi及來歷不明沒有密碼設(shè)置的WIFI。
• 手機、電腦等都需要安裝安全軟件，每天至少進行一次對木馬程序的掃描，尤其在使用重要賬號密碼前。每周定期進行一次病毒查殺，并及時更新安全軟件。
• 來路不明的軟件不要隨便安裝，在使用智能手機時，不要修改手機中的系統(tǒng)文件。
• 盡量不要使用“記住密碼”模式，上網(wǎng)后注意個人使用記錄。
• 在上網(wǎng)評論朋友微博、日志、圖片時，不要隨意留下朋友的個人信息，更不要故意公布他人的個人信息。

只有在日常生活中注意這些隱私小細節(jié)，才能最大可能地減少隱私泄露，保護好個人信息安全。同樣，企業(yè)也應做相應的措施來保護用戶的信息安全，保障他們的信息不會被不法分子竊取和盜用，這對贏得客戶的信任尤為重要。而且根據(jù)相關(guān)行業(yè)法規(guī)，企業(yè)如果未能保護用戶敏感數(shù)據(jù)，將面臨高額罰款。

SSL保障我們的信息數(shù)據(jù)安全

我們現(xiàn)在使用的HTTP明文協(xié)議是一種極不安全的明文協(xié)議，無任何加密性可言，信息泄露、網(wǎng)頁篡改、流量劫持頻頻發(fā)生，已經(jīng)滿足不了現(xiàn)在高速發(fā)展和普及的互聯(lián)網(wǎng)的安全要求。開啟了HTTPS，即在HTTP下加入SSL層，SSL是為網(wǎng)絡通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，在傳輸層對網(wǎng)絡連接進行加密，目前被廣泛地用于Web瀏覽器與服務器之間的身份認證和加密數(shù)據(jù)傳輸。

部署SSL證書，網(wǎng)站實現(xiàn)https加密，可以驗證網(wǎng)站的真實性，樹立可信賴的企業(yè)形象，辨別釣魚網(wǎng)站;證明您的網(wǎng)站是更值得信賴的合法網(wǎng)站。而且能有助于進行網(wǎng)站優(yōu)化，提高搜索排名順序，為SEO的目標和網(wǎng)站增強了安全系數(shù)。部署SSL證書最重要的就是保障數(shù)據(jù)安全，讓用戶無后顧之憂。