近日,據外媒 BleepingComputer 報道,因 Elasticsearch 集羣錯誤配置,成人視頻網站 CAM4 發生重大數據泄露事件。
泄露 108 億條記錄的成人視頻網站
據悉,本次泄露的數據量超 7TB,存儲着超過 108 億條記錄。由於一個錯誤配置的 Elasticsearch 集羣導致 CAM4 的生產數據庫在網上公開,因此數據被泄露。
由安全研究者 Anurag Sen 領導的一個 Safety Detectives 團隊發現了 CAM4 不安全的數據庫。該團隊在報告此事後,CAM4 的母公司很快下線數據庫。
研究人員發現,在 108 億條記錄中,有 1100 萬份包含電子郵件地址,另有 26392701 份包含 CAM4 用戶和網站系統的密碼散列。
據瞭解,CAM4 主要面向歐美受衆,它是一個廣受歡迎的成人直播平臺,不少素人會通過直播攝像頭在該平臺上直播成人內容。CAM4 每年有近 20 億訪客,其成員每週在上面花費的時間超過 100 萬個小時,平臺每天播放超過 75999 個私人節目。
根據研究者分析,本次泄露的數據包含大量個人身份信息(PII),涵蓋姓名、性取向、電子郵件、IP 地址、支付記錄和聊天記錄等。具體數據類型如下:
- 姓名
- 電子郵件地址
- 出生地
- 註冊日期
- 性別偏好和性取向
- 設備信息
- 其他用戶細節,比如口語
- 用戶名
- 支付記錄,包括信用卡類型、支付金額等
- 用戶對話
- 郵件往來記錄
- 用戶和 CAM4 的聊天記錄
- 令牌信息
- 密碼 hashes
- IP 地址
- Fraud detection logs
- Spam detection logs
全球多國用戶受影響,包括超 50 萬的中國用戶
基於 CAM4 不安全的數據庫,SafetyDetectives 團隊分析了每個國家受影響的用戶數。其中,本次泄露事件涉及近 660 萬美國用戶、530 萬巴西用戶。值得注意的是,泄露事件還影響到超過 53 萬的中國用戶。
此外,本次泄露事件還影響到 480 萬意大利用戶、410 萬法國用戶、300 萬德國用戶、245 萬西班牙用戶和 160 萬英國用戶。
研究者稱,“安全團隊還發現了 26392701 條帶有散列密碼的條目,其中一部分屬於 CAM4.com 用戶,一部分來自網站系統資源。”
針對此次數據泄露,CAM4 公司在一份聲明中表示,“毫無疑問,包括姓名、地址、電子郵件、IP 地址或財務數據在內的任何個人身份信息,都沒有被 Safety Detectives 團隊和 CAM4 調查人員之外的人所訪問。”
不過,如此包含大量且詳細信息的數據泄露事件,危害極大。因爲攻擊者可能以 CAM4 用戶和成員爲目標,利用泄露的個人身份數據(PII),實施多種攻擊,包括魚叉式釣魚攻擊、勒索活動、身份竊取和多種類型的欺詐活動等。
Elasticsearch 數據泄露,你該怎麼辦?
除 CAM4 外,法國《費加羅報》同樣因 Elasticsearch 配置錯誤而發生數據泄露,泄露 74 億條記錄,超 8TB 數據在網上公開。
上述兩起重大數據泄露事件均與 Elasticsearch 有關。此前,InfoQ 已經報道過多起 Elasticsearch 數據泄露,比如 Elasticsearch 在 2019 年 1 月發生 6 起數據泄露事件:
- 百安居發生數據泄露,70000 起店內盜竊案的信息流出;
- 在線賭場泄漏 1.08 億投注信息;
- 美國多家大銀行貸款文件遭泄露,文件數量達 2400 萬;
- 青年學生組織 AIESEC 的 400 萬條志願者信息泄露;
- VOIPO 超百萬的電話和短信數據泄露;
- IT 安全和雲數據管理公司 Rubrik 發生大規模數據泄露。
對於 Elasticsearch 有關的數據泄露事件,Elasticsearch 中文社區深圳分會楊振濤曾表示:
不少開發人員及其團隊在認知上更多地把 Elasticsearch 看成是與 MySQL 同等的存儲系統,所以在部署以後並沒有太多地關心其訪問控制策略和數據安全。而且 Elastisearch 開箱即用的特點也讓開發和運維人員放鬆了對安全的重視。
如何避免 Elasticsearch 在使用時發生數據泄露,楊振濤也給出幾個建議:
- 服務器必須要有防火牆,不能隨意對外開放端口;
- Elasticsearch 集羣的端口包括 TCP 和 HTTP,都不能暴露在公網;
- Elasticsearch 集羣禁用批量刪除索引功能;
- Elasticsearch 中保存的數據要做基本的脫敏處理;
- 加強監控和告警,能夠在安全事件發生的第一時間感知並啓動緊急預案,將損失降到最低。