2019年1月,我們盤點了Elasticsearch數據泄露事件。在短短的一個月內,外媒共報道了6起泄露事件。雖然Facebook、亞馬遜、微軟、谷歌和蘋果(FAMGA)等科技公司都在積極投資數據安全,公衆對於數據保護的意識也在逐步增強,但是數據泄露的事件還在頻頻發生。
本文盤點了最近一個月左右發生的數據泄露事件,泄露的數據涉及醫療信息、法律文件信息和LinkedIn中的個人資料信息。
15萬名康復患者的醫療信息泄露
Cloudflare信任與安全主管Justin Paine在使用Shodan搜索公開的互聯網設備時,發現了一個包含兩個索引的開放數據庫。超491萬份包含成癮康復患者個人身份信息(PII)的文件被存儲在這個配置錯誤的ElasticSearch數據庫中,數據總量約爲1.45GB,可公開訪問的時間達到兩年內多。
據悉,只要掌握足夠的計算機知識,任何人都可以通過該泄露數據庫定位到醫療程序中的某個特定的人,並且可以獲悉這個病人具體的就醫消費金額,使用的醫療設備等等信息。另外,除了Elasticsearch數據庫公開的數據,如果有心人利用谷歌搜索是可以獲取到患者更多信息,例如年齡、生日、居住地址、患者家庭成員的姓名、政治背景、電話號碼和電子郵件地址等等。
25萬份法律文件信息泄露
安全研究員Bob Diachenko在位於美國的AWS服務器上發現了一個沒有保護的Elasticsearch集羣,其數據有4.7GB,包含了25萬餘份帶有“非指定發佈”標籤的敏感法律文件。
Bob Diachenko提取了250個樣本進行了分析,發現這些文檔是基於 'type’編譯的。文件內容主要是來自美國各地的、2002年到2010年的法律文件。
據悉,該公開數據庫的所有者目前還沒有找到。Bob Diachenko曾給自認爲可能是所有者的知識產權訴訟研究公司Lex Machina和位於印度的LexSphere公司,分別發了安全通知警報,但是目前還沒有收到任何一家公司的官方確認。
6000萬個LinkedIn數據記錄泄露
GDI基金會的安全研究員Sanyam Jain發現一個奇怪的事情:在不同的IP地址下,相同內容的LinkedIn數據在網上總是重複出現和消失。據Sanyam Jain分析,出現這種情況的原因可能是這些數據每天都在被刪除,然後加載到另一個IP上。一段時間之後,另一個IP上的數據也會變得不可訪問,或者不能再連接到特定的IP。
Sanyam Jain總共發現了8個不安全的數據庫,8個數據庫的總大小爲229 GB,每個數據庫的大小在25 GB到32 GB之間,其中大約有6000萬條LinkedIn用戶信息記錄。雖然大部分信息是公開信息,但數據庫中包含了LinkedIn用戶的電子郵件地址。
作爲測試,Sanyam Jain從其中一個數據庫中提取了Lawrence Abrams的信息記錄,併發送給Lawrence Abrams本人進行確認,結果發現該數據庫中包含了Lawrence Abrams詳細的LinkedIn個人資料信息,包括ID、個人資料url、工作歷史、教育歷史、位置信息、列出的技能、其他社交資料以及個人資料最後一次更新時間。
最令人吃驚的是,這些個人信息中還包含了Lawrence Abrams註冊LinkedIn賬號時的電子郵件信息,據Lawrence Abrams稱,“我在LinkedIn的隱私設置中一直是把電子郵件地址設爲不公開顯示的。”
因不安全數據庫導致的數據泄露事件並不在少數,之前我們已經報道過很多起相似事件,同時針對數據泄露也向相關專家諮詢了防範措施。但遺憾的是,數據泄露仍在發生,很多企業並沒有對數據安全引起足夠的重視。之後,我們也會持續關注數據泄露的相關消息,希望企業能夠以此爲誡,真正重視數據安全。
相關文章:
數十家公司超 10 億數據泄露,如何避免?
超 2 億中國用戶簡歷曝光!MongoDB 又一重大安全事故
一個月 6 次泄露,爲啥大家用 Elasticsearch 總不設密碼?
一個月被曝五次數據泄露,ElasticSearch 還行不行?
在線賭場泄漏 1.08 億投注信息,ElasticSearch 再成禍首