写点什么

83 亿条记录泄露,泰国移动运营商 Elasticsearch 数据库被脱机

  • 2020 年 5 月 26 日
  • 本文字数:1379 字

    阅读完需:约 5 分钟

83亿条记录泄露,泰国移动运营商Elasticsearch数据库被脱机

外媒报道,泰国移动运营商 Advanced Info Service (AIS) 子公司 Advanced Wireless Network (AWN) 控制的 Elasticsearch 数据库可被公开访问,数据库中包含了约 83 亿记录,数据体量约为 4.7 TB,每 24 小时增加 2 亿记录。


根据 BinaryEdge 的数据显示,Elasticsearch 数据库于 2020 年 5 月 1 日首次被公开访问,5 月 7 日,安全研究员 Justin Paine 发现该数据库可公开访问。Justin Paine 表示:“这不是未经身份验证就暴露给 Internet 的单个服务器。我找到的主数据库分布在三个 Elasticsearch 节点组成的集群,另外,我还找到了第四个包含相似数据的 Elasticsearch 数据库。”



据了解,该数据库的数据量处于一直不断增长的情况,每 24 小时会添加大约 2 亿行新数据。截至 2020 年 5 月 21 日,数据库中共存储了 8336189132 条记录,数据是 NetFlow 数据和 DNS 查询日志的组合。


奇怪的是,DNS 查询仅记录了 8 天(2020 年 4 月 30 日到 2020 年 5 月 7 日),共捕获了 3376062859 个 DNS 查询日志,每秒记录 2538 个 DNS 事件,但不知出于何种原因,8 天之后攻击者突然停止了记录 DNS 查询。



泄露的数据有何影响?

据了解,在整个数据库暴露期间,NetFlow 数据一直在被捕获,泄露的数据中有 50 亿行数据是 NetFlow 数据,以每秒 3200 个事件的速率被记录。


注:NetFlow 是思科公司开发的一种网络协议,用于收集 IP 流量信息和监控网络流量。通过对流量数据的分析,可以建立网络流量和流量的图像。


NetFlow 数据泄露有何影响呢?NetFlow 信息记录了哪个源 IP 将不同类型的流量发送到一个特定的目标 IP,以及传输了多少数据,通过这些数据,我们可以分析出用户在网络上的行为轨迹。以下图为例,这是对目标 IP 地址的 HTTPS (TCP 端口 443) 请求,我们对目标 IP 进行反向 DNS 查找,就可以快速识别此人使用 HTTPS 的网站。



简单来说,通过这些泄露的 NetFlow 数据,我们可以判断出该 IP 所有者及家人的相关信息,包括拥有多少设备、设备的型号、使用过哪些软件、访问了哪些社交网站等等。



(上图是 DNS 查询获得的数据)


如何避免这种情况?

相信很多人也发现了,这次发生泄露的数据库又是 Elasticsearch。由于不少开发人员及其团队在认知上更多地把 Elasticsearch 看成是与 MySQL 同等的存储系统,所以在部署以后并没有太多地关心其访问控制策略和数据安全,而且 Elastisearch 开箱即用的特点也让开发和运维人员放松了对安全的重视,所以 Elasticsearch 数据泄露的比例很高。


如何避免呢?其实这也是个老生常谈的问题了,我们曾多次建议大家采取以下措施:


  1. 服务器必须要有防火墙,不能随意对外开放端口;

  2. Elasticsearch 集群的端口包括 TCP 和 HTTP,都不能暴露在公网;

  3. Elasticsearch 集群禁用批量删除索引功能;

  4. Elasticsearch 中保存的数据要做基本的脱敏处理;

  5. 加强监控和告警,能够在安全事件发生的第一时间感知并启动紧急预案,将损失降到最低。


另外,由于这次泄露的数据主要是 NetFlow 数据,所以也需要针对此做出措施。ISP 收集 NetFlow 数据是无法避免的,它们会跟踪连接的来源和流量的目的地,但是 DNS 查询日志问题是可以解决的,建议使用 DoH 和 DoT 来保护 DNS 通信。据了解,目前 Mozilla Firefox、谷歌 Chrome、Internet Explorer Edge、Android 都支持 DoH 和 DoT,微软的 Windows 10 也将很快支持。


拓展阅读:


Thai Database Leaks 8.3 Billion Internet Records


2020 年 5 月 26 日 15:437060
用户头像

发布了 497 篇内容, 共 259.9 次阅读, 收获喜欢 1755 次。

关注

评论

发布
暂无评论
发现更多内容

做个小项目那不是简简单单!Java实现航空航班管理系统。

Java 程序员 后端

全网最透彻!Dubbo整合SpringBoot详解,又通宵了

Java 程序员 后端

大数据集群被窃取数据怎么办?透明加密可以一试

华为云开发者社区

大数据 安全 数据安全 FusionInsight MRS 透明加密

使用 Mybatis 真心不要偷懒!,kafka大数据架构

Java 程序员 后端

先知道怎么手写一个分页查询,再去使用PageHelper吧

Java 程序员 后端

你可能该来学习Hystrix RPC保护的原理,RPC保护之熔断器模式了

Java 程序员 后端

你真的确定Spring AOP的执行顺序吗,爆赞

Java 程序员 后端

看动画学算法之:双向队列dequeue

程序那些事

数据结构 算法 程序那些事 11月日更 双向队列

全网讲解最透彻:高性能网络应用框架Netty,仅此一篇

Java 程序员 后端

全网最新最全面Java程序员面试清单(12专题5000解析)

Java 程序员 后端

我的应用我做主丨动手搭建招聘小应用

华为云开发者社区

低代码 招聘 应用 AppCube 应用魔方

全网火爆MySql 开源笔记,图文并茂易上手,阿里P8都说好

Java 程序员 后端

pygame 核心但简单的知识点,坐标系、Surface 对象、颜色与 Color 对象、Rect 对象

梦想橡皮擦

11月日更

你知道面试必问的AOP吗?通过Spring又如何实现呢?

Java 程序员 后端

高并发场景下JVM调优实践之路

vivo互联网技术

性能优化 后端 JVM Java、

写了四年的Java代码,分布式高并发都不会还做程序员?

Java 程序员 后端

入门级的我在学完阿里大牛写的MySQL笔记后,简历上写了精通

Java 程序员 后端

八、springboot 简单优雅的通过docker-compose 构建

Java 程序员 后端

公司来了一位前阿里大神,分享8面阿里面经(Java岗面试题集锦

Java 程序员 后端

你可以 CRUD,但你不是 CRUD 程序员!,java制作网站教程

Java 程序员 后端

你看得起劲的斗鱼直播,已经在 GitHub 开源了自家项目!

Java 程序员 后端

DevOps进击之后,DevSecOps又在说些什么?

飞算SoFlu软件机器人

DevOps

使用MySQL的NoSQL的七大理由,java基础入门第二版第三章答案

Java 程序员 后端

关于Redis主从节点数据过期一致性的思考,它真的足够一致了吗?

Java 程序员 后端

关于垃圾回收你真的了解透彻了吗?我熬夜深度剖析了一下

Java 程序员 后端

你知道怎么在生产环境下部署tomcat吗?,五年java开发经验面试

Java 程序员 后端

你说这是冷知识?Netty时间轮调度算法原理分析,再不了解你就out啦(1)

Java 程序员 后端

使用Docker安装GitLab,小马哥springcloud视频

Java 程序员 后端

做了两年P7面试官,谈谈我认为的阿里人才画像,你配吗

Java 程序员 后端

你真的懂Unicode编码吗?,理解spring原理哪本书好

Java 程序员 后端

使用Git分布式控制系统,java岗位面试题总结

Java 程序员 后端

83亿条记录泄露,泰国移动运营商Elasticsearch数据库被脱机_运维_田晓旭_InfoQ精选文章