又是讓人無語的Elasticsearch服務器,不到兩周時間,新一輪的數據泄露事件便再度發生,這次,研究人員在不安全的云存儲桶中,總共發現了 27 億個電子郵件地址,10億個電子郵件賬戶密碼以及一個裝載了近80萬份出生證明副本的應用程序。
研究人員稱,過去一年里,一些企業無意識得讓他們的Amazon Web服務S3和基于云計算的ElasticSearch存儲桶暴露出來。它們沒有任何適當的安全措施,也沒有被試圖鎖定的跡象。
SecurityDiscovery網站的網絡威脅情報總監鮑勃·迪亞琴科(Bob Diachenko)稱,我們在上周發現了一個巨大的ElasticSearch數據庫,包含超過27億個電郵地址,其中有10個的密碼都是簡單的明文。大多數被盜的郵件域名都來自中國的郵件提供商,比如騰訊、新浪、搜狐和網易。當然,雅虎gmail和一些俄羅斯郵件域名也受了影響。這些被盜的電郵及密碼也與2017年那次大型的被盜事件有關,當時有黑客直接將它們放在暗網上售賣。
該ElasticSearch服務器屬于美國的一個托管服務中心,后者在Diachenko發布數據庫存儲安全報告后于12月9日被關閉。但即使如此,它已經開放了至少一周,并且允許任何人在無密碼的情況下進行訪問。
Diachenko稱,單就數字而言,這可能是我所看到的記錄數據最龐大的一次(他自2018年以來發掘了多次數據泄露事件,其中包括2.75億個印度公民信息的數據庫)。
被泄露的27億個電子郵件地址目前無法證實是否為有效地址,但其來源確屬違規。Diachenko認為,這些電子郵件往往不會引起企業的重視,但實際上電子郵件賬戶會受到攻擊的可能性更高。
因為這些電子郵件一旦引發攻擊行為,用戶通常不會受到警報,原因在于國內的防火墻阻止了檢查電子郵件泄露的服務。
目前尚不清楚到底誰公開了數據庫,這有可能是黑客,也有可能就是安全研究人員。但無論哪種方式,該行為都忽視了ElasticSearch原本提供的安全性選項,這只是許多忽略保護云存儲安全重要性示例中的另一個。
Diachenko在研究中發現一個線索,數據庫的所有者用每個地址的MD5、SHA1和SHA256散列對偷來的電子郵件地址進行了操作,這很有可能是為了方便在數據庫中進行搜索。
這種情況很像是原本買下了該數據庫的某人本試圖啟動其搜索功能,卻被錯誤配置成了公開可用。
與此同時,英國滲透測試公司Fidus Information Security的研究人員在AWS S3存儲桶中發現了近80萬份美國出生證明復印件的在線申請,該存儲桶屬于一家提供出生和死亡證明復印件服務的公司。bucket沒有密碼保護,因此對任何人都是開放的。
有趣的是,據TechCrunch稱,研究人員無法訪問存儲桶中的94000個死亡證明副本應用程序數據庫。
TechCrunch發現,該應用程序中包含的數據可以追溯到2017年末,泄露數據的范圍包括姓名、出生日期、地址、電子郵件地址、電話號碼和其他個人數據。
Fidus主管Andrew Mabbitt稱,他的公司在從事AWS S3項目時發現了數據。該存儲桶經過配置,可以實現對外界的開放可讀,允許具有URL的任何人獲得所有文件的完整列表。
截止目前,該程序庫仍然保持公開狀態。研究人員稱,在多次聯系Amazon AWS安全團隊后,后者表示已將報告傳遞給存儲桶所有者,并建議盡快采取措施。但是,所有者似乎忽略了這些消息,至今沒有任何回復。
位于公共互聯網上的配置錯誤和暴露的數據,足以造成攻擊事件發生。黑客可以對所有者進行信息欺詐或者盜取身份信息,這類有針對性的電子郵件網絡釣魚和黑進賬戶的案例已經很多。
Bitglass的首席技術官Anurag Kahol建議,企業應確保他們對客戶數據有充分的了解和把控度。適當得采用實時訪問控制、靜態數據加密并配置可以檢測任何配置錯誤的云安全設置。
京公網安備 11010502049343號