近日,安全研究员、GDI.Foundation成员Sanyam Jain通过SUDAN搜索引擎发现了一个可被完全访问的Elasticsearch数据库,数据库中共包含有57GB的数据,数据内容是3300万中国应聘者的个人资料,暴露的数据包括求职者的用户名、性别、年龄、当前城市、家庭地址、电子邮件地址、电话号码、婚姻状况、工作历史、教育历史和工资历史等等。
2019年3月10日,Jain发现了这个数据库之后第一时间报告给了Bleeping Computer,同时为了阻止数据库的暴露情况及保护数据库安全,Jain还曾尝试寻找该数据库的所有者。
虽然当时Jain无法确定数据库所有者,但是他在数据中发现了多家中国招聘网站的“身影”,包括前程无忧、拉勾和智联招聘。“根据初步调查,该数据库中存储了来自前程无忧、拉勾和智联招聘的招聘数据,我认识是有一家第三方公司在收集这些公司的数据,并以某种方式在使用。”
3月11日,Jain联系了中国互联网应急中心CNCERT,并于当天收到回复,CNCERT已确定该IP地址的所有者为“北京到网络科技有限公司”,正在联系他们关闭数据库。
3月15日,该数据库被关闭。
事实上,Elasticsearch因不设密而导致的数据泄露事件并不在少数,仅仅是在2019年2月,笔者就报道过6起。虽然,Elasticsearch 的开源版本是不具备任何数据保护功能,但是企业在使用数据库时自身要提高安全意识,尤其是基础的保护措施一定要用起来:
1)服务器必须要有防火墙,不能随意对外开放端口;
2)Elasticsearch 集群的端口包括 TCP 和 HTTP,都不能暴露在公网;
3)Elasticsearch 集群禁用批量删除索引功能;
4)Elasticsearch 中保存的数据要做基本的脱敏处理;
5)加强监控和告警,能够在安全事件发生的第一时间感知并启动紧急预案,将损失降到最低 。
相关阅读:一个月被曝五次数据泄露,ElasticSearch 还行不行?
一个月 6 次泄露,为啥大家用 Elasticsearch 总不设密码?