2019 年 12 月 4 日,Comparitech 與安全研究人員 Bob Diachenko 一起發現了一個數據洩露的 Elasticsearch 數據庫,其中包括 27 億個電子郵件地址。Diachenko 稱:“單就數字而言,這可能是我所看到的洩露的數據最龐大的一次。”
事件回溯
SecurityDiscovery 網站的網絡威脅情報總監鮑勃·迪亞琴科(Bob Diachenko)發文稱:“我們發現了一個 Elasticsearch 數據庫洩露,包括了 27 億個電子郵件地址,其中 10 億個密碼都是以簡單的明文存儲的。其中大多數被盜的郵件域名來自中國的郵件提供商,騰訊、新浪、搜狐和網易等都在內,發現了包括 qq.com,139.com,126.com,gfan.com 和 game.sohu.com 等域名。另外,雅虎、Gmail 以及一些俄羅斯的郵件域名也受到了影響。”
該數據洩露的 Elasticsearch 數據庫被發現的情況為:
- 2019 年 12 月 1 日:該數據庫首先由 BinaryEdge 搜索引擎建立索引,此後公開可用。
- 2019 年 12 月 4 日:Diachenko 發現了數據庫,並立即採取措施通知責任方。
- 2019 年 12 月 9 日:禁止訪問數據庫。
據瞭解,這次數據洩露的 Elasticsearch 服務器屬於美國的一個託管服務中心。2019 年 12 月 9 日,在 Diachenko 發佈數據庫存儲安全報告之後,該託管服務中心關閉了 Elasticsearch 服務器,但是其至少對外開放了一週的時間,並且允許任何人在無密碼的情況下訪問。
本次洩露的數據除了電子郵件地址和密碼,還包括了每個電子郵件地址的 MD5,SHA1 和 SHA256 散列。哈希加密的電子郵件地址文本具有固定的長度,因為存儲文本數據風險太大,所以往往會用來安全存儲數據,洩露數據庫的所有者用每個地址的 MD5、SHA1 和 SHA256 散列對電子郵件地址進行了操作,很大可能是用來簡化關係數據庫的搜索。
目前,被洩露的 27 億個電子郵件地址還無法證實是否為有效地址,但可以確定的是其來源違規。Diachenko 表示:“這些電子郵件的洩露往往不會引起企業的重視,但實際上它們受到攻擊的可能性很高。”這些電子郵件一旦引發攻擊行為,用戶往往不會收到警報,因為國內的防火牆阻止了檢查電子郵件洩露的服務。
雖然還不清楚是誰公開了數據庫,可能是黑客,又或者是安全研究人員。但是確定的是,這種行為都忽略了 Elasticsearch 本來提供的安全性選項,也忽略了雲存儲安全的重要性。一旦黑客獲得了帳戶訪問權限,他們就可以通過更改密碼和關聯的電子郵件來劫持該帳戶,達到多種目的,包括垃圾郵件、網絡釣魚、欺詐、盜竊等。
Diachenko 稱:“單就數字而言,這可能是我所看到的洩露數據最龐大的一次。”
原因分析
事實上,Elasticsearch 數據庫洩露事件時有發生,就在不到一個月之前,Bob Diachenko 和 Vinny Troia 發現了一個公開可訪問的 Elasticsearch 服務器,其中包含 12 億用戶賬戶,該服務器被公開在暗網上。
2019 年 1 月,InfoQ 盤點了該月發生的 Elasticsearch 數據洩露事件,據不完全統計,一個月就有 6 起數據洩露事件。通過分析這些事件,我們發現大部分洩露的原因都是 Elasticsearch 服務器沒有設置密碼保護。
為什麼大家不設置密碼保護呢?之前我們採訪技術專家稱:“很有可能是團隊忽視了數據安全,再加上服務器防火牆對於端口開放策略過於激進,導致 Elasticsearch 集群只要一部署即可公網訪問。另外,不少開發人員及其團隊在認知上更多地把 Elasticsearch 看成是與 MySQL 同等的存儲系統,所以在部署以後並沒有太多地關心其訪問控制策略和數據安全。而且 Elastisearch 開箱即用的特點也讓開發和運維人員放鬆了對安全的重視。”
如何預防數據洩露?
如何預防數據洩露呢?首先,Elasticsearch 開源版本是不具備任何數據保護功能的,只有基本的攻擊保護,例如防火牆。不過,Elasticsearch 產品的提供商 Elastic 為訂閱用戶提供了相關的數據保護功能,例如認證和授權、數據加密(通訊加密)、審計合規等。如果自己搞不定安全問題,選擇商業版本也是一條不錯的路子。
如果只想開源版本,技術專家也給出了幾個低成本的防止數據洩露的措施:
1)服務器必須要有防火牆,不能隨意對外開放端口;
2)Elasticsearch 集群的端口包括 TCP 和 HTTP,都不能暴露在公網;
3)Elasticsearch 集群禁用批量刪除索引功能;
4)Elasticsearch 中保存的數據要做基本的脫敏處理;
5)加強監控和告警,能夠在安全事件發生的第一時間感知並啟動緊急預案,將損失降到最低。
閱讀更多 InfoQ 的文章
