值得慶幸的是,ElasticSearch 服務(wù)器中交易銀行卡詳細(xì)信息被部分加密,沒(méi)有公開完整財(cái)務(wù)細(xì)節(jié);壞消息是任何發(fā)現(xiàn)數(shù)據(jù)庫(kù)的人都會(huì)知道最近贏得大筆金錢的玩家姓名、家庭住址和電話號(hào)碼,并且可能已將這些作為詐騙或勒索的目標(biāo)用戶。
雖然 ElasticSearch 通常在公司內(nèi)部運(yùn)行,但近年因?yàn)槠湮醇用芏l(fā)生的數(shù)據(jù)泄露事件不在少數(shù):
2018 年 11 月份,美國(guó)還曾發(fā)生一起 ElasticSearch 服務(wù)器在沒(méi)有密碼的開放狀態(tài)下泄露了將近 5700 萬(wàn)美國(guó)民眾個(gè)人信息的事件。當(dāng)時(shí)共泄漏超過(guò) 73GB 數(shù)據(jù),服務(wù)器租用 免備案服務(wù)器,并且?guī)讉€(gè)數(shù)據(jù)庫(kù)被緩存在服務(wù)器內(nèi)存中,其中一個(gè)數(shù)據(jù)庫(kù)包含的個(gè)人信息就達(dá)到了 56,934,021 份。
該服務(wù)器被安全研究員 Justin Paine 發(fā)現(xiàn),數(shù)據(jù)泄露源頭是一個(gè) ElasticSearch 服務(wù)器,該服務(wù)器沒(méi)有密碼保護(hù),不需要身份驗(yàn)證且很明顯信息來(lái)源于在線投注門戶網(wǎng)站。雖然是一個(gè)服務(wù)器,但該 ElasticSearch 實(shí)例處理了大量信息,這些信息來(lái)源于多個(gè)網(wǎng)域,但似乎來(lái)源于某個(gè)聯(lián)盟組織或者是一家運(yùn)營(yíng)多個(gè)博彩門戶的大公司。
2018 年 12 月份,巴西最大的訂閱電視服務(wù)之一的 Sky Brasil 在沒(méi)有密碼的情況下將 ElasticSearch 服務(wù)器暴露在互聯(lián)網(wǎng)上,其 3200 萬(wàn)客戶數(shù)據(jù)在網(wǎng)上暴露了很長(zhǎng)時(shí)間,存儲(chǔ)數(shù)據(jù)包括客戶姓名、電子郵件地址、密碼、付費(fèi)電視包數(shù)據(jù)、客戶端 IP 地址、個(gè)人地址、付款方式、設(shè)備型號(hào)等。
據(jù)外媒報(bào)道,免備案主機(jī),美國(guó)一家網(wǎng)上賭場(chǎng)集團(tuán)泄露了超過(guò) 1.08 億筆投注信息,包括客戶個(gè)人資料,存取款記錄、家庭住址、電話號(hào)碼、電子郵件地址、出生日期、網(wǎng)站用戶名、帳戶余額、IP 地址、瀏覽器、操作系統(tǒng)信息、上次登錄信息和游戲列表,甚至包含當(dāng)前投注、獲勝、用于交易的銀行卡等詳細(xì)信息。
通過(guò)對(duì)服務(wù)器數(shù)據(jù)中發(fā)現(xiàn)的 URL 進(jìn)行分析,Paine 得出結(jié)論,所有域名都在運(yùn)行在線賭博交易,用戶可以在經(jīng)典的老虎機(jī)游戲中下注,還可以投注其他新興游戲(均帶有賭博性質(zhì))。目前發(fā)現(xiàn)的域名有 kahunacasino.com、azur-casino.com、easybet.com 和 viproomcasino.net 等,初步驗(yàn)證這些域名屬于一家公司的可能性較大。
ElasticSearch 是一個(gè)搜索引擎,企業(yè)一般用它來(lái)改進(jìn)自有網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)索引和搜索功能,通常會(huì)裝在內(nèi)部網(wǎng)絡(luò)用來(lái)處理公司機(jī)密信息,信息不會(huì)泄露在網(wǎng)上,因?yàn)橥ǔL幚淼氖枪緝?nèi)部最敏感的信息。
安全建議
2017 年,白帽匯曾對(duì)全球使用 ElasticSearch 引擎發(fā)生的勒索事件進(jìn)行監(jiān)測(cè),最終發(fā)現(xiàn)因被攻擊而刪除的數(shù)據(jù)至少 500 億條,被刪除數(shù)據(jù)規(guī)模至少 450TB。系統(tǒng)顯示,互聯(lián)網(wǎng)上公開可訪問(wèn)的 ElasticSearch 服務(wù)器超過(guò) 68000 余臺(tái),受害總數(shù)達(dá) 9750 臺(tái)。其中,美國(guó) 4380 臺(tái),中國(guó)第二為 944 臺(tái),其余來(lái)自法國(guó)、愛(ài)爾蘭和新加坡等地。此次事件后,1% 的 Elasticsearch 啟用了驗(yàn)證插件,另外有 2% 則關(guān)閉了 Elasticsearch。
ElasticSearch 安全事故頻發(fā)
回顧幾起案例,相似之處在于 ElasticSearch 服務(wù)器均在沒(méi)有密碼保護(hù)的情況下遭到泄露,因此企業(yè)應(yīng)該對(duì)該服務(wù)器進(jìn)行加密,如果不喜歡付費(fèi)軟件,網(wǎng)絡(luò)中也有很多開源工具可供選擇;其次,升級(jí)目前所用的 ElasticSearch 版本,較高版本暫時(shí)安全性更好;最后,如果選用了與 ElasticSearch 一起使用的集成工具,也需要檢查這些工具是否會(huì)存在漏洞并做好加密工作。
