近日，据外媒 BleepingComputer 报道，因 Elasticsearch 集群错误配置，成人视频网站 CAM4 发生重大数据泄露事件。

泄露 108 亿条记录的成人视频网站

据悉，本次泄露的数据量超 7TB，存储着超过 108 亿条记录。由于一个错误配置的 Elasticsearch 集群导致 CAM4 的生产数据库在网上公开，因此数据被泄露。

由安全研究者 Anurag Sen 领导的一个 Safety Detectives 团队发现了 CAM4 不安全的数据库。该团队在报告此事后，CAM4 的母公司很快下线数据库。

研究人员发现，在 108 亿条记录中，有 1100 万份包含电子邮件地址，另有 26392701 份包含 CAM4 用户和网站系统的密码散列。

据了解，CAM4 主要面向欧美受众，它是一个广受欢迎的成人直播平台，不少素人会通过直播摄像头在该平台上直播成人内容。CAM4 每年有近 20 亿访客，其成员每周在上面花费的时间超过 100 万个小时，平台每天播放超过 75999 个私人节目。

根据研究者分析，本次泄露的数据包含大量个人身份信息（PII），涵盖姓名、性取向、电子邮件、IP 地址、支付记录和聊天记录等。具体数据类型如下：

全球多国用户受影响，包括超 50 万的中国用户

基于 CAM4 不安全的数据库，SafetyDetectives 团队分析了每个国家受影响的用户数。其中，本次泄露事件涉及近 660 万美国用户、530 万巴西用户。值得注意的是，泄露事件还影响到超过 53 万的中国用户。

此外，本次泄露事件还影响到 480 万意大利用户、410 万法国用户、300 万德国用户、245 万西班牙用户和 160 万英国用户。

研究者称，“安全团队还发现了 26392701 条带有散列密码的条目，其中一部分属于 CAM4.com 用户，一部分来自网站系统资源。”

针对此次数据泄露，CAM4 公司在一份声明中表示，“毫无疑问，包括姓名、地址、电子邮件、IP 地址或财务数据在内的任何个人身份信息，都没有被 Safety Detectives 团队和 CAM4 调查人员之外的人所访问。”

不过，如此包含大量且详细信息的数据泄露事件，危害极大。因为攻击者可能以 CAM4 用户和成员为目标，利用泄露的个人身份数据（PII），实施多种攻击，包括鱼叉式钓鱼攻击、勒索活动、身份窃取和多种类型的欺诈活动等。

除 CAM4 外，法国《费加罗报》同样因 Elasticsearch 配置错误而发生数据泄露，泄露 74 亿条记录，超 8TB 数据在网上公开。

上述两起重大数据泄露事件均与 Elasticsearch 有关。此前，InfoQ 已经报道过多起 Elasticsearch 数据泄露，比如 Elasticsearch 在 2019 年 1 月发生 6 起数据泄露事件：

对于 Elasticsearch 有关的数据泄露事件，Elasticsearch 中文社区深圳分会杨振涛曾表示：

不少开发人员及其团队在认知上更多地把 Elasticsearch 看成是与 MySQL 同等的存储系统，所以在部署以后并没有太多地关心其访问控制策略和数据安全。而且 Elastisearch 开箱即用的特点也让开发和运维人员放松了对安全的重视。

如何避免 Elasticsearch 在使用时发生数据泄露，杨振涛也给出几个建议：