上次，Elasticsearch服務(wù)器12億個(gè)人數(shù)據(jù)遭泄露事件余音在耳，結(jié)果這次又來(lái)了一個(gè)炸彈。

又是讓人無(wú)語(yǔ)的Elasticsearch服務(wù)器，不到兩周時(shí)間，新一輪的數(shù)據(jù)泄露事件便再度發(fā)生，這次，研究人員在不安全的云存儲(chǔ)桶中，總共發(fā)現(xiàn)了 27 億個(gè)電子郵件地址，10億個(gè)電子郵件賬戶(hù)密碼以及一個(gè)裝載了近80萬(wàn)份出生證明副本的應(yīng)用程序。

研究人員稱(chēng)，過(guò)去一年里，一些企業(yè)無(wú)意識(shí)得讓他們的Amazon Web服務(wù)S3和基于云計(jì)算的ElasticSearch存儲(chǔ)桶暴露出來(lái)。它們沒(méi)有任何適當(dāng)?shù)陌踩胧矝](méi)有被試圖鎖定的跡象。

SecurityDiscovery網(wǎng)站的網(wǎng)絡(luò)威脅情報(bào)總監(jiān)鮑勃·迪亞琴科（Bob Diachenko）稱(chēng)，我們?cè)谏现馨l(fā)現(xiàn)了一個(gè)巨大的ElasticSearch數(shù)據(jù)庫(kù)，包含超過(guò)27億個(gè)電郵地址，其中有10個(gè)的密碼都是簡(jiǎn)單的明文。大多數(shù)被盜的郵件域名都來(lái)自中國(guó)的郵件提供商，比如騰訊、新浪、搜狐和網(wǎng)易。當(dāng)然，雅虎gmail和一些俄羅斯郵件域名也受了影響。這些被盜的電郵及密碼也與2017年那次大型的被盜事件有關(guān)，當(dāng)時(shí)有黑客直接將它們放在暗網(wǎng)上售賣(mài)。

該ElasticSearch服務(wù)器屬于美國(guó)的一個(gè)托管服務(wù)中心，后者在Diachenko發(fā)布數(shù)據(jù)庫(kù)存儲(chǔ)安全報(bào)告后于12月9日被關(guān)閉。但即使如此，它已經(jīng)開(kāi)放了至少一周，并且允許任何人在無(wú)密碼的情況下進(jìn)行訪(fǎng)問(wèn)。

Diachenko稱(chēng)，單就數(shù)字而言，這可能是我所看到的記錄數(shù)據(jù)最龐大的一次（他自2018年以來(lái)發(fā)掘了多次數(shù)據(jù)泄露事件，directadmin漢化，其中包括2.75億個(gè)印度公民信息的數(shù)據(jù)庫(kù)）。

被泄露的27億個(gè)電子郵件地址目前無(wú)法證實(shí)是否為有效地址，但其來(lái)源確屬違規(guī)。Diachenko認(rèn)為，這些電子郵件往往不會(huì)引起企業(yè)的重視，但實(shí)際上電子郵件賬戶(hù)會(huì)受到攻擊的可能性更高。

因?yàn)檫@些電子郵件一旦引發(fā)攻擊行為，用戶(hù)通常不會(huì)受到警報(bào)，原因在于國(guó)內(nèi)的防火墻阻止了檢查電子郵件泄露的服務(wù)。

目前尚不清楚到底誰(shuí)公開(kāi)了數(shù)據(jù)庫(kù)，這有可能是黑客，也有可能就是安全研究人員。但無(wú)論哪種方式，該行為都忽視了ElasticSearch原本提供的安全性選項(xiàng)，這只是許多忽略保護(hù)云存儲(chǔ)安全重要性示例中的另一個(gè)。

Diachenko在研究中發(fā)現(xiàn)一個(gè)線(xiàn)索，數(shù)據(jù)庫(kù)的所有者用每個(gè)地址的MD5、SHA1和SHA256散列對(duì)偷來(lái)的電子郵件地址進(jìn)行了操作，這很有可能是為了方便在數(shù)據(jù)庫(kù)中進(jìn)行搜索。

這種情況很像是原本買(mǎi)下了該數(shù)據(jù)庫(kù)的某人本試圖啟動(dòng)其搜索功能，卻被錯(cuò)誤配置成了公開(kāi)可用。

與此同時(shí)，英國(guó)滲透測(cè)試公司Fidus Information Security的研究人員在AWS S3存儲(chǔ)桶中發(fā)現(xiàn)了近80萬(wàn)份美國(guó)出生證明復(fù)印件的在線(xiàn)申請(qǐng)，該存儲(chǔ)桶屬于一家提供出生和死亡證明復(fù)印件服務(wù)的公司。bucket沒(méi)有密碼保護(hù)，因此對(duì)任何人都是開(kāi)放的。

有趣的是，據(jù)TechCrunch稱(chēng)，研究人員無(wú)法訪(fǎng)問(wèn)存儲(chǔ)桶中的94000個(gè)死亡證明副本應(yīng)用程序數(shù)據(jù)庫(kù)。

TechCrunch發(fā)現(xiàn)，該應(yīng)用程序中包含的數(shù)據(jù)可以追溯到2017年末，泄露數(shù)據(jù)的范圍包括姓名、出生日期、地址、電子郵件地址、電話(huà)號(hào)碼和其他個(gè)人數(shù)據(jù)。

Fidus主管Andrew Mabbitt稱(chēng)，他的公司在從事AWS S3項(xiàng)目時(shí)發(fā)現(xiàn)了數(shù)據(jù)。該存儲(chǔ)桶經(jīng)過(guò)配置，可以實(shí)現(xiàn)對(duì)外界的開(kāi)放可讀，允許具有URL的任何人獲得所有文件的完整列表。

截止目前，該程序庫(kù)仍然保持公開(kāi)狀態(tài)。研究人員稱(chēng)，在多次聯(lián)系A(chǔ)mazon AWS安全團(tuán)隊(duì)后，后者表示已將報(bào)告?zhèn)鬟f給存儲(chǔ)桶所有者，并建議盡快采取措施。但是，所有者似乎忽略了這些消息，香港服務(wù)器租用，至今沒(méi)有任何回復(fù)。

位于公共互聯(lián)網(wǎng)上的配置錯(cuò)誤和暴露的數(shù)據(jù)，足以造成攻擊事件發(fā)生。黑客可以對(duì)所有者進(jìn)行信息欺詐或者盜取身份信息，這類(lèi)有針對(duì)性的電子郵件網(wǎng)絡(luò)釣魚(yú)和黑進(jìn)賬戶(hù)的案例已經(jīng)很多。

Bitglass的首席技術(shù)官Anurag Kahol建議，企業(yè)應(yīng)確保他們對(duì)客戶(hù)數(shù)據(jù)有充分的了解和把控度。適當(dāng)?shù)貌捎脤?shí)時(shí)訪(fǎng)問(wèn)控制、靜態(tài)數(shù)據(jù)加密并配置可以檢測(cè)任何配置錯(cuò)誤的云安全設(shè)置。