酷应用

一个月被曝五次数据泄露，ElasticSearch怎么回事？

百家作者：InfoQ 2019-01-29 00:36:19

作者 | 田晓旭

数据泄露是每个公司和用户的噩梦，可是谁能想到短短的一个月时间内，ElasticSearch 已经发生了五起数据泄露事件，而且泄露数据的辐射面都不算小。这是怎么回事儿？

1 VOIPO 超百万的电话和短信数据泄露

2019 年 1 月，Cloudflare Trust & Safety Director Justin Paine 发布消息称，他通过 Shodon 搜索引擎找到了加州 IP 语音服务商的 ElasticSearch 数据库，该数据库可用于在线查找连接互联网的设备和系统，通过简单操作就可以找到大量的数据库。

这次数据泄露不仅包括 VOIPO 呼叫日志，同时还包括 SMS / MMS 消息记录和明文内部系统凭证。其中，共有 670 万个文档中包含有呼叫日志，日志内容涉及部分原始号码、部分目的地号码、时间戳和呼叫持续时间等详细信息；600 万条可追溯到 2015 年的短信和彩信日志，包括时间戳和消息内容；200 万个日志文档引用了内部系统的主机名，明文用户名和密码以及 API 密钥；用于 VOIPO 会话的设备信息也被泄露，内部包括设备 IP 地址、MAC 地址、时间戳和使用价值。

2 青年学生组织 AIESEC 的 400 万条志愿者信息泄露

AIESEC 是一家非营利组织，自称是“世界上最大的青年组织”，AIESEC 有 10 万多会员，遍及 126 个国家。1 月 11 日，独立安全研究人员鲍勃·迪亚琴科（Bob Diachenko）在 Elasticsearch 找到一个未受保护的数据库，里面包含 AIESEC 申请人的信息，具体包括申请人的名字、性别、出生年月、申请实习原因等信息，还有申请被拒的时间。值得注意的是，这些信息不需要密码就可以获取。

3 在线赌场泄漏 1.08 亿投注信息

安全研究员 Justin Paine 发现了一个没有密码保护的 ElasticSearch 服务器，该服务器不需要身份验证且很明显信息来源于在线投注门户网站。据报道，这次数据泄露包含了超过 1.08 亿笔投注信息，信息包括有客户个人资料，存取款记录、家庭住址、电话号码、电子邮件地址、出生日期、网站用户名、帐户余额、IP 地址、浏览器、操作系统信息、上次登录信息和游戏列表，甚至包含当前投注、获胜、用于交易的银行卡等等。值得庆幸的是，ElasticSearch 服务器中交易银行卡详细信息被部分加密，没有公开完整财务细节；坏消息是任何发现数据库的人都会知道最近赢得大笔金钱的玩家姓名、家庭住址和电话号码，并且可能已将这些作为诈骗或勒索的目标用户。

4 美国多家大银行贷款文件遭泄露，文件数量达 2400 万

据 1 月 24 日的外媒报道，因为服务器出现安全漏洞，美国多家大银行、2400 多万份金融及银行资料遭泄露。据悉，受影响服务器上运行的是 Elasticsearch 数据库，其中包含了 10 多年的历史数据，比如贷款和抵押贷款协议、还款计划、敏感财务及税务文档。这些文件没有受到密码的保护，任何人都可以查阅。

据报道称，该数据库只暴露了 2 周，1 月 15 日就被保护起来了。不过，意外的是，1 月 15 日，供应商在配置服务器时有出现了错误，导致一些与抵押贷款有关的文档泄露，目前泄露源 Ascension 的母公司 Rocktop Partners 正在与第三方专家合作展开调查。

5 百安居发生数据泄露，70000 起店内盗窃案的信息流出

对于大型连锁超市来说，盗窃案件虽不能说是司空见惯，但也是时有发生，所以，一般他们都会创建数据库来存储相关信息，例如窃取者姓名、被盗物品、被盗物品的价值以及是从哪家商店盗窃的等等。

近日，Ctrlbox 的安全专家爆料称，英国著名的家居建材零售商 B&Q 在追踪罪犯和盗窃行为的数据库方面一直很粗心，其中有一个放在数据库中记录了 70000 多名盗窃者的相关信息，本来应该是只能在 B&Q 内部访问的，但是因为没有设置密码导致所有人都可以访问。

据悉，这个数据库是放在 ElasticSearch 服务器上的，由于数据库中存放的数据是高度敏感的数据，所以一旦草率落入坏人手中，可能会引起严重后果。B&Q 对此事的处理也不是很积极，有报道称，漏洞发现者曾多次联系 B&Q 方面的工作人员，但是 B&Q 在得知消息的两周后才下线了 ElasticSearch 服务器。

一个月时间，被曝出五起数据泄露事件，作为主角的 ElasticSearch 难免会让人产生质疑，但是比起追责和质疑，当务之急是补救。笔者曾看到有博客发文列出了数据泄露发生之后最应该做的三件事情：

1. 一定要有计划的行事，不要盲目做事

如果发生数据泄露或网络攻击，第一时间是要搞清楚问题发生的原因，要确定数据泄露的发生形式，是勒索软件攻击、系统上的恶意软件、带有开放端口的防火墙，过时的软件还是无意的内部威胁。确定攻击方式之后，为了防止因错误决定导致情况恶化，最好是由决策人来负责指导回复计划，如果没有计划的话，也可联系有处理经验的专家、顾问或代理机构。

2. 不要忽视数据泄露的严重性

当发生数据泄露时，我们要正视这个事实，甚至在有必要的时候，要及时通知员工、合作伙伴和客户，诚实、开放、透明地解释清楚泄露是如何发生的以及未来的补救措施，即使可能需要专业机构或顾问帮助制定事件响应计划，也要确保员工能够有正确的渠道获取信息。

3. 明确了解事件的前因后果

了解事件发生的前因后果是防止下次攻击或数据泄露的关键，我们需要了解哪些系统和数据受到了影响，采取何种办法解决问题，在最终复盘的时候，要明确哪些工作作对了，哪些做错了。