線上賭場洩漏 1.08 億投注資訊,ElasticSearch 再成禍首
目前,該伺服器已關閉,尚不清楚雲提供商是否將其刪除以及母公司是否知道發生了資料洩露。
事件經過
據外媒報道,美國一家網上賭場集團洩露了超過 1.08 億筆投注資訊,包括客戶個人資料,存取款記錄、家庭住址、電話號碼、電子郵件地址、出生日期、網站使用者名稱、帳戶餘額、IP 地址、瀏覽器、作業系統資訊、上次登入資訊和遊戲列表,甚至包含當前投注、獲勝、用於交易的銀行卡等詳細資訊。
值得慶幸的是,ElasticSearch 伺服器中交易銀行卡詳細資訊被部分加密,沒有公開完整財務細節;壞訊息是任何發現數據庫的人都會知道最近贏得大筆金錢的玩家姓名、家庭住址和電話號碼,並且可能已將這些作為詐騙或勒索的目標使用者。
該伺服器被安全研究員 Justin Paine 發現,資料洩露源頭是一個 ElasticSearch 伺服器,該伺服器沒有密碼保護,不需要身份驗證且很明顯資訊來源於線上投注入口網站。雖然是一個伺服器,但該 ElasticSearch 例項處理了大量資訊,這些資訊來源於多個網域,但似乎來源於某個聯盟組織或者是一家運營多個博彩門戶的大公司。
通過對伺服器資料中發現的 URL 進行分析,Paine 得出結論,所有域名都在執行線上賭博交易,使用者可以在經典的老虎機遊戲中下注,還可以投注其他新興遊戲(均帶有賭博性質)。目前發現的域名有 kahunacasino.com 、azur-casino.com 、easybet.com 和 viproomcasino.net 等,初步驗證這些域名屬於一家公司的可能性較大。
ElasticSearch 安全事故頻發
ElasticSearch 是一個搜尋引擎,企業一般用它來改進自有網路內的資料索引和搜尋功能,通常會裝在內部網路用來處理公司機密資訊,資訊不會洩露在網上,因為通常處理的是公司內部最敏感的資訊。
雖然 ElasticSearch 通常在公司內部執行,但近年因為其未加密而發生的資料洩露事件不在少數:
-
2017 年,白帽匯曾對全球使用 ElasticSearch 引擎發生的勒索事件進行監測,最終發現因被攻擊而刪除的資料至少 500 億條,被刪除資料規模至少 450TB。系統顯示,網際網路上公開可訪問的 ElasticSearch 伺服器超過 68000 餘臺,受害總數達 9750 臺。其中,美國 4380 臺,中國第二為 944 臺,其餘來自法國、愛爾蘭和新加坡等地。此次事件後,1% 的 Elasticsearch 啟用了驗證外掛,另外有 2% 則關閉了 Elasticsearch。
-
2018 年 11 月份,美國還曾發生一起 ElasticSearch 伺服器在沒有密碼的開放狀態下洩露了將近 5700 萬美國民眾個人資訊的事件。當時共洩漏超過 73GB 資料,並且幾個資料庫被快取在伺服器記憶體中,其中一個數據庫包含的個人資訊就達到了 56,934,021 份。
-
2018 年 12 月份,巴西最大的訂閱電視服務之一的 Sky Brasil 在沒有密碼的情況下將 ElasticSearch 伺服器暴露在網際網路上,其 3200 萬客戶資料在網上暴露了很長時間,儲存資料包括客戶姓名、電子郵件地址、密碼、付費電視包資料、客戶端 IP 地址、個人地址、付款方式、裝置型號等。
安全建議
回顧幾起案例,相似之處在於 ElasticSearch 伺服器均在沒有密碼保護的情況下遭到洩露,因此企業應該對該伺服器進行加密,如果不喜歡付費軟體,網路中也有很多開源工具可供選擇;其次,升級目前所用的 ElasticSearch 版本,較高版本暫時安全性更好;最後,如果選用了與 ElasticSearch 一起使用的整合工具,也需要檢查這些工具是否會存在漏洞並做好加密工作。