Categories
程式開發

Elasticsearch 洩露27億郵件數據,包括多家國內大廠郵箱


2019年12月4日,Comparitech與安全研究人員Bob Diachenko 一起發現了一個數據洩露的Elasticsearch數據庫,其中包括27億個電子郵件地址。 Diachenko稱:“單就數字而言,這可能是我所看到的洩露的數據最龐大的一次。”

事件回溯

SecurityDiscovery網站的網絡威脅情報總監鮑勃·迪亞琴科(Bob Diachenko)發文稱:“我們發現了一個Elasticsearch數據庫洩露,包括了27億個電子郵件地址,其中10億個密碼都是以簡單的明文存儲的。其中大多數被盜的郵件域名來自中國的郵件提供商,騰訊、新浪、搜狐和網易等都在內,發現了包括qq.com,139.com,126.com,gfan.com和game .sohu.com等域名。另外,雅虎、Gmail以及一些俄羅斯的郵件域名也受到了影響。”

該數據洩露的Elasticsearch數據庫被發現的情況為:

  • 2019年12月1日:該數據庫首先由BinaryEdge搜索引擎建立索引,此後公開可用。

  • 2019年12月4日:Diachenko發現了數據庫,並立即採取措施通知責任方。

  • 2019年12月9日:禁止訪問數據庫。

據了解,這次數據洩露的Elasticsearch服務器屬於美國的一個託管服務中心。 2019年12月9日,在Diachenko發布數據庫存儲安全報告之後,該託管服務中心關閉了Elasticsearch服務器,但是其至少對外開放了一周的時間,並且允許任何人在無密碼的情況下訪問。

本次洩露的數據除了電子郵件地址和密碼,還包括了每個電子郵件地址的MD5,SHA1和SHA256散列。哈希加密的電子郵件地址文本具有固定的長度,因為存儲文本數據風險太大,所以往往會用來安全存儲數據,洩露數據庫的所有者用每個地址的MD5、SHA1和SHA256散列對電子郵件地址進行了操作,很大可能是用來簡化關係數據庫的搜索。

Elasticsearch 洩露27億郵件數據,包括多家國內大廠郵箱 1

目前,被洩露的27億個電子郵件地址還無法證實是否為有效地址,但可以確定的是其來源違規。 Diachenko表示:“這些電子郵件的洩露往往不會引起企業的重視,但實際上它們受到攻擊的可能性很高。”這些電子郵件一旦引發攻擊行為,用戶往往不會收到警報,因為國內的防火牆阻止了檢查電子郵件洩露的服務。

雖然還不清楚是誰公開了數據庫,可能是黑客,又或者是安全研究人員。但是確定的是,這種行為都忽略了Elasticsearch本來提供的安全性選項,也忽略了雲存儲安全的重要性。一旦黑客獲得了帳戶訪問權限,他們就可以通過更改密碼和關聯的電子郵件來劫持該帳戶,達到多種目的,包括垃圾郵件、網絡釣魚、欺詐、盜竊等。

Diachenko稱:“單就數字而言,這可能是我所看到的洩露數據最龐大的一次。”

原因分析

事實上,Elasticsearch數據庫洩露事件時有發生,就在不到一個月之前,Bob Diachenko 和Vinny Troia 發現了一個公開可訪問的Elasticsearch 服務器,其中包含12億用戶賬戶,該服務器被公開在暗網上。

2019年1月,InfoQ 盤點了該月發生的Elasticsearch數據洩露事件,據不完全統計,一個月就有6起數據洩露事件。通過分析這些事件,我們發現大部分洩露的原因都是Elasticsearch服務器沒有設置密碼保護。

為什麼大家不設置密碼保護呢?之前我們採訪技術專家稱:“很有可能是團隊忽視了數據安全,再加上服務器防火牆對於端口開放策略過於激進,導致Elasticsearch 集群只要一部署即可公網訪問。另外,不少開發人員及其團隊在認知上更多地把Elasticsearch 看成是與MySQL 同等的存儲系統,所以在部署以後並沒有太多地關心其訪問控制策略和數據安全。而且Elastisearch 開箱即用的特點也讓開發和運維人員放鬆了對安全的重視。”

如何預防數據洩露?

如何預防數據洩露呢?首先,Elasticsearch開源版本是不具備任何數據保護功能的,只有基本的攻擊保護,例如防火牆。不過,Elasticsearch 產品的提供商 Elastic 為訂閱用戶提供了相關的數據保護功能,例如認證和授權、數據加密(通訊加密)、審計合規等。如果自己搞不定安全問題,選擇商業版本也是一條不錯的路子。

如果只想開源版本,技術專家也給出了幾個低成本的防止數據洩露的措施:

1)服務器必須要有防火牆,不能隨意對外開放端口;

2)Elasticsearch 集群的端口包括 TCP 和 HTTP,都不能暴露在公網;

3)Elasticsearch 集群禁用批量刪除索引功能;

4)Elasticsearch 中保存的數據要做基本的脫敏處理;

5)加強監控和告警,能夠在安全事件發生的第一時間感知並啟動緊急預案,將損失降到最低。

相關閱讀:

一個月被曝五次數據洩露,ElasticSearch 還行不行?