近日,安全研究員、GDI.Foundation成員Sanyam Jain通過SUDAN搜索引擎發現了一個可被完全訪問的Elasticsearch數據庫,數據庫中共包含有57GB的數據,數據內容是3300萬中國應聘者的個人資料,暴露的數據包括求職者的用戶名、性別、年齡、當前城市、家庭地址、電子郵件地址、電話號碼、婚姻狀況、工作歷史、教育歷史和工資歷史等等。
2019年3月10日,Jain發現了這個數據庫之後第一時間報告給了Bleeping Computer,同時爲了阻止數據庫的暴露情況及保護數據庫安全,Jain還曾嘗試尋找該數據庫的所有者。
雖然當時Jain無法確定數據庫所有者,但是他在數據中發現了多家中國招聘網站的“身影”,包括前程無憂、拉勾和智聯招聘。“根據初步調查,該數據庫中存儲了來自前程無憂、拉勾和智聯招聘的招聘數據,我認識是有一家第三方公司在收集這些公司的數據,並以某種方式在使用。”
3月11日,Jain聯繫了中國互聯網應急中心CNCERT,並於當天收到回覆,CNCERT已確定該IP地址的所有者爲“北京到網絡科技有限公司”,正在聯繫他們關閉數據庫。
3月15日,該數據庫被關閉。
事實上,Elasticsearch因不設密而導致的數據泄露事件並不在少數,僅僅是在2019年2月,筆者就報道過6起。雖然,Elasticsearch 的開源版本是不具備任何數據保護功能,但是企業在使用數據庫時自身要提高安全意識,尤其是基礎的保護措施一定要用起來:
1)服務器必須要有防火牆,不能隨意對外開放端口;
2)Elasticsearch 集羣的端口包括 TCP 和 HTTP,都不能暴露在公網;
3)Elasticsearch 集羣禁用批量刪除索引功能;
4)Elasticsearch 中保存的數據要做基本的脫敏處理;
5)加強監控和告警,能夠在安全事件發生的第一時間感知並啓動緊急預案,將損失降到最低 。
相關閱讀:一個月被曝五次數據泄露,ElasticSearch 還行不行?
一個月 6 次泄露,爲啥大家用 Elasticsearch 總不設密碼?