AI Agent、AI Infra、RAG 、出海合规,2024 前瞻性和实用性技术案例都在这里了 了解详情
写点什么

Elasticsearch 泄露 27 亿邮件数据,包括多家国内大厂邮箱

  • 2019-12-12
  • 本文字数:1769 字

    阅读完需:约 6 分钟

Elasticsearch 泄露27亿邮件数据,包括多家国内大厂邮箱

2019 年 12 月 4 日,Comparitech 与安全研究人员 Bob Diachenko 一起发现了一个数据泄露的 Elasticsearch 数据库,其中包括 27 亿个电子邮件地址。Diachenko 称:“单就数字而言,这可能是我所看到的泄露的数据最庞大的一次。”

事件回溯

SecurityDiscovery 网站的网络威胁情报总监鲍勃·迪亚琴科(Bob Diachenko)发文称:“我们发现了一个 Elasticsearch 数据库泄露,包括了 27 亿个电子邮件地址,其中 10 亿个密码都是以简单的明文存储的。其中大多数被盗的邮件域名来自中国的邮件提供商,腾讯、新浪、搜狐和网易等都在内,发现了包括 qq.com,139.com,126.com,gfan.com 和 game.sohu.com 等域名。另外,雅虎、Gmail 以及一些俄罗斯的邮件域名也受到了影响。”


该数据泄露的 Elasticsearch 数据库被发现的情况为:


  • 2019 年 12 月 1 日:该数据库首先由 BinaryEdge 搜索引擎建立索引,此后公开可用。

  • 2019 年 12 月 4 日:Diachenko 发现了数据库,并立即采取措施通知责任方。

  • 2019 年 12 月 9 日:禁止访问数据库。


据了解,这次数据泄露的 Elasticsearch 服务器属于美国的一个托管服务中心。2019 年 12 月 9 日,在 Diachenko 发布数据库存储安全报告之后,该托管服务中心关闭了 Elasticsearch 服务器,但是其至少对外开放了一周的时间,并且允许任何人在无密码的情况下访问。


本次泄露的数据除了电子邮件地址和密码,还包括了每个电子邮件地址的 MD5,SHA1 和 SHA256 散列。哈希加密的电子邮件地址文本具有固定的长度,因为存储文本数据风险太大,所以往往会用来安全存储数据,泄露数据库的所有者用每个地址的 MD5、SHA1 和 SHA256 散列对电子邮件地址进行了操作,很大可能是用来简化关系数据库的搜索。



目前,被泄露的 27 亿个电子邮件地址还无法证实是否为有效地址,但可以确定的是其来源违规。Diachenko 表示:“这些电子邮件的泄露往往不会引起企业的重视,但实际上它们受到攻击的可能性很高。”这些电子邮件一旦引发攻击行为,用户往往不会收到警报,因为国内的防火墙阻止了检查电子邮件泄露的服务。


虽然还不清楚是谁公开了数据库,可能是黑客,又或者是安全研究人员。但是确定的是,这种行为都忽略了 Elasticsearch 本来提供的安全性选项,也忽略了云存储安全的重要性。一旦黑客获得了帐户访问权限,他们就可以通过更改密码和关联的电子邮件来劫持该帐户,达到多种目的,包括垃圾邮件、网络钓鱼、欺诈、盗窃等。


Diachenko 称:“单就数字而言,这可能是我所看到的泄露数据最庞大的一次。”

原因分析

事实上,Elasticsearch 数据库泄露事件时有发生,就在不到一个月之前,Bob Diachenko 和 Vinny Troia 发现了一个公开可访问的 Elasticsearch 服务器,其中包含 12 亿用户账户,该服务器被公开在暗网上。


2019 年 1 月,InfoQ 盘点了该月发生的 Elasticsearch 数据泄露事件,据不完全统计,一个月就有 6 起数据泄露事件。通过分析这些事件,我们发现大部分泄露的原因都是 Elasticsearch 服务器没有设置密码保护。


为什么大家不设置密码保护呢?之前我们采访技术专家称:“很有可能是团队忽视了数据安全,再加上服务器防火墙对于端口开放策略过于激进,导致 Elasticsearch 集群只要一部署即可公网访问。另外,不少开发人员及其团队在认知上更多地把 Elasticsearch 看成是与 MySQL 同等的存储系统,所以在部署以后并没有太多地关心其访问控制策略和数据安全。而且 Elastisearch 开箱即用的特点也让开发和运维人员放松了对安全的重视。”

如何预防数据泄露?

如何预防数据泄露呢?首先,Elasticsearch 开源版本是不具备任何数据保护功能的,只有基本的攻击保护,例如防火墙。不过,Elasticsearch 产品的提供商 Elastic 为订阅用户提供了相关的数据保护功能,例如认证和授权、数据加密(通讯加密)、审计合规等。如果自己搞不定安全问题,选择商业版本也是一条不错的路子。


如果只想开源版本,技术专家也给出了几个低成本的防止数据泄露的措施:


1)服务器必须要有防火墙,不能随意对外开放端口;


2)Elasticsearch 集群的端口包括 TCP 和 HTTP,都不能暴露在公网;


3)Elasticsearch 集群禁用批量删除索引功能;


4)Elasticsearch 中保存的数据要做基本的脱敏处理;


5)加强监控和告警,能够在安全事件发生的第一时间感知并启动紧急预案,将损失降到最低。


相关阅读:


一个月被曝五次数据泄露,ElasticSearch 还行不行?


2019-12-12 14:244509
用户头像

发布了 497 篇内容, 共 316.3 次阅读, 收获喜欢 1917 次。

关注

评论

发布
暂无评论
发现更多内容

测试开发之系统篇-安装KVM虚拟机

禅道项目管理

虚拟机 测试开发

EasyRecovery软件帮你快速恢复图片数据

淋雨

EasyRecovery 文件恢复 硬盘数据恢复

价值连城 知名深度强化学习Pieter Abbeel的采访 John 易筋 ARTS 打卡 Week 56

John(易筋)

ARTS 打卡计划

腾讯T3大牛手把手教你!三面腾讯,已拿offer

欢喜学安卓

android 程序员 面试 移动开发

抖音快手seo获客系统开发(可贴牌)

获客I3O6O643Z97

抖音霸屏

一周信创舆情观察(7.12~7.18)

统小信uos

Java的这个强大功能,很多人都不知道

华为云开发者联盟

Java c++ jdk 算法 jni

Vue进阶(五十八):ES字符串操作:遍历、比较、截取、补全...

No Silver Bullet

Vue ES 字符串 7月日更

哪类技术助力了隐私计算的工业化?如何“组装”发挥更大价值?

SaaS市场百花齐放:厂商数量已达4500家,用户数量已达915万家

海比研究院

带你了解WDR-GaussDB(DWS) 的性能监测报告

华为云开发者联盟

数据库 数据 GaussDB(DWS) WDR 负荷诊断报告

WorkPlus高端制造业数字化解决方案—长江存储

WorkPlus

开源 企业 解决方案 即时通讯 私有云

去中心化薄饼交易所开发|PancakeSwap去中心化交易所搭建方案

Geek_23f0c3

交易所开发 去中心化交易所系统开发 PancakeSwap交易所

利用亚马逊云科技Direct Connect和Transit Gateway轻松构造企业混合云解决方案

亚马逊云科技 (Amazon Web Services)

详解API Gateway流控实现,揭开ROMA平台高性能秒级流控的技术细节

华为云开发者联盟

华为 ROMA 集成平台 ROMA Connect API Gateway

经典好文!BAT大厂Android面试真题锦集干货整理

欢喜学安卓

android 程序员 面试 移动开发

开跑!Mobileye自动驾驶汽车路测落地纽约

E科讯

Cassandra的调优总结

林一

分布式数据库 Cassandra

应届女生美团Java岗4面,一次性斩offfer,我受到了万点暴击

Java 编程 程序员 架构师 计算机

WorkPlus高端制造业数字化解决方案—航天科工

WorkPlus

开源 移动 解决方案 即时通讯 私有云

作为Android开发程序员,已获千赞

欢喜学安卓

android 程序员 面试 移动开发

校友资料登记平台小程序开发笔记一-系统整体设计

CC同学

校友登记小程序 校友资料小程序

ZooKeeper 分布式锁 Curator 源码 04:分布式信号量和互斥锁

程序员小航

Java zookeeper 源码 分布式锁 zookeeper分布式锁

校友资料登记平台小程序开发笔记二-云数据库设计

CC同学

校友录小程序 校友资料小程序

手写Spring框架,是时候撸个AOP与Bean生命周期融合了!

小傅哥

Java spring 小傅哥 aop 代理

携手生态伙伴亮相InfoComm,英特尔赋能智能协作办公

E科讯

Spark 开源新特性:Catalyst 优化流程裁剪

华为云开发者联盟

sql spark 开源 Catalyst 优化器

看焱融云CSI动态感知如何扩展Kubernetes Scheduler

焱融科技

云计算 技术 云原生 高性能 分布式存储

Go语言:new还是make?到底该如何选择?

微客鸟窝

Go 语言

13张图,深入理解Synchronized

程序猿阿星

synchronized java 并发 锁机制 锁升级

密码学系列之:Merkle–Damgård结构和长度延展攻击

程序那些事

加密解密 密码学 程序那些事

Elasticsearch 泄露27亿邮件数据,包括多家国内大厂邮箱_数据库_田晓旭_InfoQ精选文章