2019年1月,我们盘点了Elasticsearch数据泄露事件。在短短的一个月内,外媒共报道了6起泄露事件。虽然Facebook、亚马逊、微软、谷歌和苹果(FAMGA)等科技公司都在积极投资数据安全,公众对于数据保护的意识也在逐步增强,但是数据泄露的事件还在频频发生。
本文盘点了最近一个月左右发生的数据泄露事件,泄露的数据涉及医疗信息、法律文件信息和LinkedIn中的个人资料信息。
15万名康复患者的医疗信息泄露
Cloudflare信任与安全主管Justin Paine在使用Shodan搜索公开的互联网设备时,发现了一个包含两个索引的开放数据库。超491万份包含成瘾康复患者个人身份信息(PII)的文件被存储在这个配置错误的ElasticSearch数据库中,数据总量约为1.45GB,可公开访问的时间达到两年内多。
据悉,只要掌握足够的计算机知识,任何人都可以通过该泄露数据库定位到医疗程序中的某个特定的人,并且可以获悉这个病人具体的就医消费金额,使用的医疗设备等等信息。另外,除了Elasticsearch数据库公开的数据,如果有心人利用谷歌搜索是可以获取到患者更多信息,例如年龄、生日、居住地址、患者家庭成员的姓名、政治背景、电话号码和电子邮件地址等等。
25万份法律文件信息泄露
安全研究员Bob Diachenko在位于美国的AWS服务器上发现了一个没有保护的Elasticsearch集群,其数据有4.7GB,包含了25万余份带有“非指定发布”标签的敏感法律文件。
Bob Diachenko提取了250个样本进行了分析,发现这些文档是基于 'type’编译的。文件内容主要是来自美国各地的、2002年到2010年的法律文件。
据悉,该公开数据库的所有者目前还没有找到。Bob Diachenko曾给自认为可能是所有者的知识产权诉讼研究公司Lex Machina和位于印度的LexSphere公司,分别发了安全通知警报,但是目前还没有收到任何一家公司的官方确认。
6000万个LinkedIn数据记录泄露
GDI基金会的安全研究员Sanyam Jain发现一个奇怪的事情:在不同的IP地址下,相同内容的LinkedIn数据在网上总是重复出现和消失。据Sanyam Jain分析,出现这种情况的原因可能是这些数据每天都在被删除,然后加载到另一个IP上。一段时间之后,另一个IP上的数据也会变得不可访问,或者不能再连接到特定的IP。
Sanyam Jain总共发现了8个不安全的数据库,8个数据库的总大小为229 GB,每个数据库的大小在25 GB到32 GB之间,其中大约有6000万条LinkedIn用户信息记录。虽然大部分信息是公开信息,但数据库中包含了LinkedIn用户的电子邮件地址。
作为测试,Sanyam Jain从其中一个数据库中提取了Lawrence Abrams的信息记录,并发送给Lawrence Abrams本人进行确认,结果发现该数据库中包含了Lawrence Abrams详细的LinkedIn个人资料信息,包括ID、个人资料url、工作历史、教育历史、位置信息、列出的技能、其他社交资料以及个人资料最后一次更新时间。
最令人吃惊的是,这些个人信息中还包含了Lawrence Abrams注册LinkedIn账号时的电子邮件信息,据Lawrence Abrams称,“我在LinkedIn的隐私设置中一直是把电子邮件地址设为不公开显示的。”
因不安全数据库导致的数据泄露事件并不在少数,之前我们已经报道过很多起相似事件,同时针对数据泄露也向相关专家咨询了防范措施。但遗憾的是,数据泄露仍在发生,很多企业并没有对数据安全引起足够的重视。之后,我们也会持续关注数据泄露的相关消息,希望企业能够以此为诫,真正重视数据安全。
相关文章:
数十家公司超 10 亿数据泄露,如何避免?
超 2 亿中国用户简历曝光!MongoDB 又一重大安全事故
一个月 6 次泄露,为啥大家用 Elasticsearch 总不设密码?
一个月被曝五次数据泄露,ElasticSearch 还行不行?
在线赌场泄漏 1.08 亿投注信息,ElasticSearch 再成祸首