Elasticsearch 又雙叒發(fā)生數(shù)據(jù)泄露了,近 200 萬(wàn)條“禁飛名單”被泄露
今年 7 月,Security Discovery網(wǎng)站總監(jiān)鮑勃·迪亞琴科(Bob Diachenko) 在暴露的Elasticsearch集群中發(fā)現(xiàn)了大量JSON記錄,近200萬(wàn)條信息被泄露,其中包含有關(guān)人員的敏感信息,包括姓名、國(guó)籍、性別、出生日期、護(hù)照詳細(xì)信息和禁飛狀態(tài)。暴露的服務(wù)器已被搜索引擎Censys和ZoomEye編入索引,這表明Diachenko可能不是唯一訪問(wèn)該列表的人。
來(lái)源于網(wǎng)絡(luò)
研究人員Bob Diachenko分析暴露字段的性質(zhì)(例如護(hù)照詳細(xì)信息和“no_fly_indicator”),發(fā)現(xiàn)這些信息似乎來(lái)自禁飛或類似的恐怖分子觀察名單。此外,他還注意到一些難以理解的字段,例如“標(biāo)簽”、“提名類型”和“入選指標(biāo)”等。
考慮到這些數(shù)據(jù)被視為高度機(jī)密,在協(xié)助國(guó)家安全和執(zhí)法方面發(fā)揮著重要作用。于是在7月19日,Bob Diachenko急忙向美國(guó)國(guó)土安全部(DHS)報(bào)告了數(shù)據(jù)泄露事件。三周后,即2021年8月9日,暴露的服務(wù)器被關(guān)閉。
有趣的是,Bob Diachenko是在7月19日發(fā)現(xiàn)了暴露的數(shù)據(jù)庫(kù),但是該數(shù)據(jù)庫(kù)位于巴林 IP 地址而非美國(guó) IP 地址的服務(wù)器上。
1. 數(shù)據(jù)泄露的影響
“鑒于這些數(shù)據(jù)中存在一個(gè)‘TSC_ID’的特定字段,暗示這些數(shù)據(jù)來(lái)源可能來(lái)自恐怖分子篩查中心 (TSC)。”Bob Diachenko在后面的報(bào)告中解釋道。FBI 的TSC 被多個(gè)聯(lián)邦機(jī)構(gòu)用于管理和共享用于反恐目的的綜合信息,該機(jī)構(gòu)維護(hù)著“恐怖分子篩查數(shù)據(jù)庫(kù)”的機(jī)密觀察名單,有時(shí)也稱為“禁飛名單”,航空公司和多個(gè)機(jī)構(gòu)(例如國(guó)務(wù)院、國(guó)防部、運(yùn)輸安全局 (TSA) 和海關(guān)和邊境保護(hù)局 (CBP))會(huì)參考該列表,以檢查乘客是否被允許乘飛機(jī)進(jìn)入美國(guó)或評(píng)估他們危險(xiǎn)級(jí)別。
來(lái)源于網(wǎng)絡(luò)
Bob Diachenko認(rèn)為這次數(shù)據(jù)泄露是非常嚴(yán)重的事件,“如果落入壞人之手,后果不堪設(shè)想,壞人可能會(huì)利用名單來(lái)騷擾或迫害名單上的人及其家人。”
Bob Diachenko也表示:“這次泄密可能會(huì)對(duì)嫌疑人產(chǎn)生負(fù)面影響,也會(huì)給名單上的無(wú)辜者帶來(lái)個(gè)人問(wèn)題和職業(yè)困擾,比如那些因拒絕成為線人而被列入“禁飛名單”。”
2. ElasticSearch 為何頻發(fā)數(shù)據(jù)泄露
Elasticsearch是現(xiàn)在的Elastic于2010年首次發(fā)布的分布式免費(fèi)開(kāi)源搜索和分析引擎,具有快速實(shí)時(shí)搜索和可靠穩(wěn)定的特點(diǎn)。很多企業(yè)都用作檢索公司機(jī)密信息,提高工作效率。但是近年來(lái),Elasticsearch數(shù)據(jù)泄露事件卻頻繁發(fā)生。
來(lái)源于Elastic官網(wǎng)
例如在2019 年 12 月 1 日,騰訊、新浪、搜狐和網(wǎng)易等公司,超過(guò) 27 億個(gè)郵件地址數(shù)據(jù)被泄露。泰國(guó)移動(dòng)運(yùn)營(yíng)商Advanced Info Service(AIS) 的Elasticsearch數(shù)據(jù)庫(kù)于2020年5月1日被公開(kāi)訪問(wèn),數(shù)據(jù)庫(kù)中包含了約83億記錄,數(shù)據(jù)體量約為4.7 TB。
Elasticsearch數(shù)據(jù)泄露發(fā)生的主要原因,在于Elasticsearch開(kāi)源版本是不具備任何數(shù)據(jù)保護(hù)功能的,只有基本的攻擊保護(hù)防火墻功能。
因此專家建議可以采取認(rèn)證和授權(quán)、數(shù)據(jù)加密(通訊加密)、使用內(nèi)部網(wǎng)絡(luò)等方法避免發(fā)生數(shù)據(jù)泄露,或者加強(qiáng)預(yù)警,以便在安全事件發(fā)生的第一時(shí)間感知并啟動(dòng)緊急預(yù)案,將損失降到最低。
參考鏈接:
https://www.bleepingcomputer.com/news/security/secret-terrorist-watchlist-with-2-million-records-exposed-online/
https://cloud.tencent.com/developer/article/1580423
文章轉(zhuǎn)載:CSDN(ID:CSDNnews)
(版權(quán)歸原作者所有,侵刪)
點(diǎn)擊下方“閱讀原文”查看更多