今年 7 月,Security Discovery 網站總監鮑勃·迪亞琴科(Bob Diachenko )在暴露的 Elasticsearch 集群中發現了大量 JSON 記錄,近200萬條資訊被泄露,其中包含有關人員的敏感資訊,包括姓名、國籍、性別、出生日期、護照詳細資訊和禁飛狀態,暴露的服務器已被搜索引擎 Censys 和 ZoomEye 編入索引,這表明 Diachenko 可能不是唯一訪問該串列的人,
研究人員Bob Diachenko分析暴露欄位的性質(例如護照詳細資訊和“no_fly_indicator”),發現這些資訊似乎來自禁飛或類似的恐怖分子觀察名單,此外,他還注意到一些難以理解的欄位,例如“標簽”、“提名型別”和“入選指標”等,
考慮到這些資料被視為高度機密,在協助國家安全和執法方面發揮著重要作用,于是在7月19日,Bob Diachenko 急忙向美國國土安全部(DHS)報告了資料泄露事件,三周后,即 2021 年 8 月 9 日,暴露的服務器被關閉,
有趣的是,Bob Diachenko是在 7 月 19 日發現了暴露的資料庫,但是該資料庫位于巴林 IP 地址而非美國 IP 地址的服務器上,
資料泄露的影響
“鑒于這些資料中存在一個‘TSC_ID’的特定欄位,暗示這些資料來源可能來自恐怖分子篩查中心 (TSC),”Bob Diachenko在后來的報告中解釋道,FBI 的TSC 被多個聯邦機構用于管理和共享用于反恐目的的綜合資訊,該機構維護著“恐怖分子篩查資料庫”的機密觀察名單,有時也稱為“禁飛名單”,航空公司和多個機構(例如國務院、國防部、運輸安全域 (TSA) 和海關和邊境保護局 (CBP))會參考該串列,以檢查乘客是否被允許乘飛機進入美國或評估他們危險級別,
Bob Diachenko認為這次資料泄露是非常嚴重的事件,“如果落入壞人之手,后果不堪設想,壞人可能會利用名單來騷擾或迫害名單上的人及其家人,”
Bob Diachenko也表示:“這次泄密可能會物件疑人產生負面影響,也會給名單上的無辜者帶來個人問題和職業困擾,比如那些因拒絕成為線人而被列入“禁飛名單”,”
ElasticSearch 為何頻發資料泄露
Elasticsearch是現在的Elastic于2010年首次發布的分布式免費開源搜索和分析引擎,具有快速實時搜索和可靠穩定的特點,很多企業都用作檢索公司機密資訊,提高作業效率,但是近年來,Elasticsearch資料泄露事件卻頻繁發生,
例如在2019 年 12 月 1 日,騰訊、新浪、搜狐和網易等公司,超過 27 億個郵件地址資料被泄露,泰國移動運營商Advanced Info Service(AIS)Elasticsearch資料庫于2020年5月1日被公開訪問,資料庫中包含了約83億記錄,資料體量約為4.7 TB,
Elasticsearch資料泄露發生的主要原因,在于Elasticsearch 開源版本是不具備任何資料保護功能的,只有基本的攻擊保護防火墻功能,
因此專家建議可以采取認證和授權、資料加密(通訊加密)、使用內部網路等方法避免發生資料泄露,或者加強預警,以便在安全事件發生的第一時間感知并啟動緊急預案,將損失降到最低,
參考鏈接:
- https://www.bleepingcomputer.com/news/security/secret-terrorist-watchlist-with-2-million-records-exposed-online/
- https://cloud.tencent.com/developer/article/1580423
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/295127.html
標籤:其他
上一篇:RabbitMQ基礎總結