今年 7 月,Security Discovery网站总监鲍勃·迪亚琴科(Bob Diachenko) 在暴露的Elasticsearch集群中发现了大量JSON记录,近200万条信息被泄露,其中包含有关人员的敏感信息,包括姓名、国籍、性别、出生日期、护照详细信息和禁飞状态。暴露的服务器已被搜索引擎Censys和ZoomEye编入索引,这表明Diachenko可能不是唯一访问该列表的人。
来源于网络
研究人员Bob Diachenko分析暴露字段的性质(例如护照详细信息和“no_fly_indicator”),发现这些信息似乎来自禁飞或类似的恐怖分子观察名单。此外,他还注意到一些难以理解的字段,例如“标签”、“提名类型”和“入选指标”等。
考虑到这些数据被视为高度机密,在协助国家安全和执法方面发挥着重要作用。于是在7月19日,Bob Diachenko急忙向美国国土安全部(DHS)报告了数据泄露事件。三周后,即2021年8月9日,暴露的服务器被关闭。
有趣的是,Bob Diachenko是在7月19日发现了暴露的数据库,但是该数据库位于巴林 IP 地址而非美国 IP 地址的服务器上。
1. 数据泄露的影响
“鉴于这些数据中存在一个‘TSC_ID’的特定字段,暗示这些数据来源可能来自恐怖分子筛查中心 (TSC)。”Bob Diachenko在后面的报告中解释道。FBI 的TSC 被多个联邦机构用于管理和共享用于反恐目的的综合信息,该机构维护着“恐怖分子筛查数据库”的机密观察名单,有时也称为“禁飞名单”,航空公司和多个机构(例如国务院、国防部、运输安全局 (TSA) 和海关和边境保护局 (CBP))会参考该列表,以检查乘客是否被允许乘飞机进入美国或评估他们危险级别。
来源于网络
Bob Diachenko认为这次数据泄露是非常严重的事件,“如果落入坏人之手,后果不堪设想,坏人可能会利用名单来骚扰或迫害名单上的人及其家人。”
Bob Diachenko也表示:“这次泄密可能会对嫌疑人产生负面影响,也会给名单上的无辜者带来个人问题和职业困扰,比如那些因拒绝成为线人而被列入“禁飞名单”。”
2. ElasticSearch 为何频发数据泄露
Elasticsearch是现在的Elastic于2010年首次发布的分布式免费开源搜索和分析引擎,具有快速实时搜索和可靠稳定的特点。很多企业都用作检索公司机密信息,提高工作效率。但是近年来,Elasticsearch数据泄露事件却频繁发生。
来源于Elastic官网
例如在2019 年 12 月 1 日,腾讯、新浪、搜狐和网易等公司,超过 27 亿个邮件地址数据被泄露。泰国移动运营商Advanced Info Service(AIS) 的Elasticsearch数据库于2020年5月1日被公开访问,数据库中包含了约83亿记录,数据体量约为4.7 TB。
Elasticsearch数据泄露发生的主要原因,在于Elasticsearch开源版本是不具备任何数据保护功能的,只有基本的攻击保护防火墙功能。
因此专家建议可以采取认证和授权、数据加密(通讯加密)、使用内部网络等方法避免发生数据泄露,或者加强预警,以便在安全事件发生的第一时间感知并启动紧急预案,将损失降到最低。
参考链接:
文章转载:CSDN(ID:CSDNnews)
(版权归原作者所有,侵删)
点击下方“阅读原文”查看更多
