目前,該服務器已關閉,尚不清楚雲提供商是否將其刪除以及母公司是否知道發生了數據泄露。
事件經過
據外媒報道,美國一家網上賭場集團泄露了超過1.08億筆投注信息,包括客戶個人資料,存取款記錄、家庭住址、電話號碼、電子郵件地址、出生日期、網站用戶名、帳戶餘額、IP地址、瀏覽器、操作系統信息、上次登錄信息和遊戲列表,甚至包含當前投注、獲勝、用於交易的銀行卡等詳細信息。
值得慶幸的是,ElasticSearch服務器中交易銀行卡詳細信息被部分加密,沒有公開完整財務細節;壞消息是任何發現數據庫的人都會知道最近贏得大筆金錢的玩家姓名、家庭住址和電話號碼,並且可能已將這些作爲詐騙或勒索的目標用戶。
該服務器被安全研究員Justin Paine發現,數據泄露源頭是一個ElasticSearch服務器,該服務器沒有密碼保護,不需要身份驗證且很明顯信息來源於在線投注門戶網站。雖然是一個服務器,但該ElasticSearch實例處理了大量信息,這些信息來源於多個網域,但似乎來源於某個聯盟組織或者是一家運營多個博彩門戶的大公司。
通過對服務器數據中發現的URL進行分析,Paine得出結論,所有域名都在運行在線賭博交易,用戶可以在經典的老虎機遊戲中下注,還可以投注其他新興遊戲(均帶有賭博性質)。目前發現的域名有kahunacasino.com、azur-casino.com、easybet.com和viproomcasino.net等,初步驗證這些域名屬於一家公司的可能性較大。
ElasticSearch安全事故頻發
ElasticSearch是一個搜索引擎,企業一般用它來改進自有網絡內的數據索引和搜索功能,通常會裝在內部網絡用來處理公司機密信息,信息不會泄露在網上,因爲通常處理的是公司內部最敏感的信息。
雖然ElasticSearch通常在公司內部運行,但近年因爲其未加密而發生的數據泄露事件不在少數:
-
2017年,白帽匯曾對全球使用ElasticSearch引擎發生的勒索事件進行監測,最終發現因被攻擊而刪除的數據至少500億條,被刪除數據規模至少450TB。系統顯示,互聯網上公開可訪問的ElasticSearch服務器超過68000餘臺,受害總數達9750臺。其中,美國4380臺,中國第二爲944臺,其餘來自法國、愛爾蘭和新加坡等地。此次事件後,1%的Elasticsearch啓用了驗證插件,另外有2%則關閉了Elasticsearch。
-
2018年11月份,美國還曾發生一起ElasticSearch服務器在沒有密碼的開放狀態下泄露了將近5700萬美國民衆個人信息的事件。當時共泄漏超過73GB數據,並且幾個數據庫被緩存在服務器內存中,其中一個數據庫包含的個人信息就達到了56,934,021份。
-
2018年12月份,巴西最大的訂閱電視服務之一的Sky Brasil在沒有密碼的情況下將ElasticSearch服務器暴露在互聯網上,其3200萬客戶數據在網上暴露了很長時間,存儲數據包括客戶姓名、電子郵件地址、密碼、付費電視包數據、客戶端IP地址、個人地址、付款方式、設備型號等。
安全建議
回顧幾起案例,相似之處在於ElasticSearch服務器均在沒有密碼保護的情況下遭到泄露,因此企業應該對該服務器進行加密,如果不喜歡付費軟件,網絡中也有很多開源工具可供選擇;其次,升級目前所用的ElasticSearch版本,較高版本暫時安全性更好;最後,如果選用了與ElasticSearch一起使用的集成工具,也需要檢查這些工具是否會存在漏洞並做好加密工作。