🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
上海习近平新疆鄂州父女瓜乌鲁木齐疫情H工口小学生赛高习明泽芊川一笑图包印尼排华
分类
社会娱乐国际人权科技经济其它
查看原文
其他

全球12亿用户数据被暴露在公开的 Elasticsearch 服务器中

Ionut Arghire 代码卫士 2022-04-06
 聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
Data Viper 公司的安全研究人员发布报告称,一台被暴露的 Elasticsearch服务器中含有超过12亿人员的数据。
上个月,研究员 BobDiachenko 和 Vinny Troia 发现,任何人无需认证即可访问该服务器,它包含40亿用户账户,超过4TB 数据。进一步调查显示,数据来自两家不同的数据公司,因此实际上被泄露的数据是从多种来源收集的且一直在更新。
多数数据都存储在四个不同的数据索引中且被打上“PDL”和“OXY”的标签,而研究人员发现这些标签指的是两家数据聚合公司,People Data Labs 和 OxyData。
研究人员分析了该服务器中近30亿 PDL 用户记录,发现近12亿唯一人员,以及6.5亿唯一电子邮件地址。这些数字不仅和 PDL 公司在网站上的宣传数据相吻合,而且研究人员还能够验证这些数据几乎和 PDL API 返回的信息一模一样。
研究人员解释称,“二者唯一的不同之处在于,PDF 返回的数据中还包括教育背景,而服务器中的数据不含该信息。其它信息几乎一模一样,包括附带多份邮件地址和电话号码的账户信息。
Vinny Troia 还发现了自己在大概10年前从 AT&T 公司捆绑业务中分配得到的一个固话号码。尽管从未用过这个固话号码,但信息仍然存在于该研究员的资料中且包含在 PeopleDatLabs.com 中关于他的信息中。
PDL 公司回应称,这个被暴露的服务器托管在谷歌云中,而并非该公司所有。然而,这些数据显然源自 PDL 公司。
研究人员披露称,某些被暴露的 Elasticsearch 服务器中的数据来自OxyData 公司,虽然后者也否认它是这台服务器的所有者。从中得到自己的用户记录后,Troia 证实称被泄数据确实来自 OxyData 公司。
研究人员无法确定是谁将服务器公开在互联网上,不过认为暴露者的身份应该是两家数据公司的共同客户,以及数据可能遭滥用而非被盗。
研究人员总结表示,“所包含的个人数据如此庞大,加上识别数据所有者很复杂,因此有可能会引发我们现行隐私和数据泄露通知法律有效性的问题。
Barracuda Networks 公司的信息安全高级总监 Dava Farrow 表示,“从信息遭泄露的人员角度看,它并非早已准备好的数据泄露事件。信息是‘被暴露的’,已存在于 LinkedIn、Facebook 和 Github 上,这就引发我们思考对数据收集者编译并出售该信息的态度,因为这种行为已成为一种标准实践。
Cequence Security 公司的一名黑客 Jason Kent 评论称,“我们看到一种不同于以往的全新且具有潜在危险的数据关联。如果攻击者持有丰富的数据集,那么就能够制作针对性极高的攻击。这种攻击可导致密码恢复信息、财务数据、通信模式、社会结构等被暴露。这是高级别在位人员可遭针对性攻击的方式。



推荐阅读

浓缩精华|苹果修复约40个漏洞;域名注册商 Network Solutions数据遭泄露;暗网出现500强公司的2100万份凭证

Elasticsearch 免费开放某些安全高级功能



原文链接
https://www.securityweek.com/data-12-billion-users-found-exposed-elasticsearch-server


题图:Pixabay License



本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”



奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存