2019年8月14日,衛報發佈了一篇報告,報告中稱:在Metropolitan Police、國防承包商和銀行等公司使用的公共數據庫中發現了超過百萬人的指紋、面部識別信息、未加密的用戶名、密碼以及員工個人信息。
事件回溯
這個包含了數百萬個指紋、面部識別信息,未加密的用戶名、密碼以及員工的個人信息的數據庫是個未加密的Elasticsearch數據庫,由研究人員Noam Rotem和Ran Locar共同發現。
Noam Rotem和Ran Locar一直在與審查虛擬專用網絡服務提供商 vpnotor合作,通過運行 Side Project 來掃描端口,尋找熟悉的IP塊,然後利用這些塊來查找公司系統中可能導致數據泄露的漏洞。在上週的一次搜索中,研究人員發現Biostar 2的數據庫沒有受到保護,且大部分都是未加密的。他們通過操縱Elasticsearch中的URL搜索條件來搜索數據庫,獲取到了對數據的訪問權限。
Suprema是負責基於網絡的Biostar 2生物識別鎖定系統的安全公司,該系統允許集中控制對倉庫或辦公樓等建築物的訪問。Biostar 2通過指紋和麪部識別來辨別想要進入建築物的人。上個月,Suprema宣佈將其Biostar 2平臺集成到另一個門禁系統 - AEOS中。AEOS被83個國家的5700個組織使用,其中就包括前文中衛報提到的Metropolitan Police、國防承包商和銀行等。
據Noam Rotem介紹:“數據庫中大部分用戶名和密碼都沒有加密,我們甚至可以找到管理員賬戶的純文本密碼。同時,我們還可以看到數百萬用戶正在哪些位置訪問該系統,並實時查看某個用戶進入了哪個建築物,甚至可以精確到建築物的某個房間。另外,數據庫中的數據還可被新增和修改,這意味着攻擊者可以編輯現有的用戶賬戶,並將其指紋替換成自己的指紋,進而獲得訪問相關建築物的權限,也可以在數據庫中新增自己的賬戶來獲得相關權限。”
與用戶名、密碼之類的數據泄露不同,指紋、面部識別等生物識別數據的泄露更爲嚴重,因爲這類數據無法更改,一旦泄露可能會造成永久損害,並且,攻擊者可利用這些信息開展各種犯罪活動。
相關進展
據瞭解,該不安全Elasticsearch數據庫泄露的信息包括以下方面:
- 訪問客戶端管理面板、儀表板、後端控制和權限;
- 指紋數據;
- 用戶的面部識別信息和圖像;
- 未加密的用戶名、密碼和用戶ID;
- 安全區域出入記錄;
- 從開始日期的員工記錄;
- 員工安全級別和許可;
- 個人信息,包括員工住址和電子郵件;
- 企業的員工結構和層次結構;
- 移動設備和操作系統信息;
在發現漏洞之後,研究人員未能通過郵件及時聯繫到Biostar 2。兩天之後,他們打電話給德國分公司,但是對方說他們在掛斷電話時表示:“沒有與vpnMentor通話”。隨後,研究人員又嘗試聯繫到了法國分公司,該分公司採取了相關措施,關閉了漏洞數據庫。
8月13日,在距離Biostar 2首次收到警報的一週後,該漏洞數據庫才被關閉。對於這樣的反應速度,發現該漏洞的研究人員表示很失望。
研究人員建議Biostar 2客戶立即更改儀表盤密碼,並提示所有員工更改個人密碼。另外,消費品上的大多數指紋掃描器都是未加密的,因此當黑客開發出複製指紋的技術時,他們將可以訪問存儲在您設備上的所有私人信息,例如消息、照片和付款方式。
如何保護Elasticsearch數據庫
雖然這已經不是第一起因Elasticsearch不安全數據庫導致的數據泄露,但是顯然之前發生的數據泄露並沒有給廣大企業和用戶敲響警鐘。其實,想要阻止數據泄露並非是件難以完成的事情,之前我們在採訪Elasticsearch 中文社區深圳分會楊振濤時,他給出了幾個最基本的低成本措施:
1)服務器必須要有防火牆,不能隨意對外開放端口;
2)Elasticsearch 集羣的端口包括 TCP 和 HTTP,都不能暴露在公網;
3)Elasticsearch 集羣禁用批量刪除索引功能;
4)Elasticsearch 中保存的數據要做基本的脫敏處理;
5)加強監控和告警,能夠在安全事件發生的第一時間感知並啓動緊急預案,將損失降到最低 。
如果是在沒有任何保護措施下造成的數據泄露,那麼要在第一時間儘快恢復服務;如果泄露原因是Elasticsearch 宿主服務器安全性太低,那麼第一時間要爲服務器做安全加固,比如開啓防火牆,拒絕非授權端口的訪問,修改 root 密碼,禁用密碼直接登錄服務器,而是通過 SSH KEY 來登錄等;如果發生了極端情況,泄露的數據包含用戶賬號信息,那麼要在第一時間通知用戶修改密碼,甚至在登錄模塊強制用戶重置密碼後纔可登錄。
參考鏈接:
https://techerati.com/news-hub/biometrics-data-police-breach-cyber/