ElasticSearch服務(wù)器配置錯誤��,暴露579GB用戶網(wǎng)站記錄
2022年05月14日
Website Planet 的 IT 安全研究人員發(fā)現(xiàn)了兩臺暴露的 ElasticSearch 服務(wù)器���,經(jīng)過研究,確定服務(wù)器使用的是軟件供應(yīng)商SnowPlow Analytics開發(fā)的開源數(shù)據(jù)分析軟件����,尚不清楚屬于那個組織。
數(shù)據(jù)分析軟件允許公司在其網(wǎng)站訪問者不知情的情況下跟蹤和存儲信息����。值得注意的是,網(wǎng)絡(luò)分析工具可以收集多種數(shù)據(jù)指標(biāo)��,然后使用這些數(shù)據(jù)為網(wǎng)站訪問者創(chuàng)建一個廣泛����、詳細的個人資料庫。
配置錯誤的 ElasticSearch 服務(wù)器案例
據(jù)研究人員稱�����,這兩個 ElasticSearch 服務(wù)器沒有任何加密或用戶驗證措施,意味著任何人都可以在不需要密碼的情況下訪問這些數(shù)據(jù)���。
這兩個不安全的���、配置錯誤的服務(wù)器最終暴露了大約 579.4GB 的用戶記錄數(shù)據(jù)(359019902條)。暴露的服務(wù)器包含網(wǎng)絡(luò)用戶流量的詳細日志�����,主要包括以下內(nèi)容:
被曝光數(shù)據(jù)的細節(jié)
從 Website Planet 發(fā)表的文章來看����,兩臺服務(wù)器暴露的用戶數(shù)據(jù)都集中在 2021 年兩個月份里。
第一個服務(wù)器主要包含了 2021 年 9 月的數(shù)據(jù)�,共 24728328 條記錄,約 389.7GB(2021 年 9 月 2 日和 10 月 1 日之間收集的數(shù)據(jù))�。
第二臺服務(wù)器主要包含了 2021 年 12 月的數(shù)據(jù),共 116291574 條記錄�,約 189.7GB(2021 年 12 月 1 日和 2021 年 12 月 27 日之間收集的數(shù)據(jù))。
1500 萬用戶可能受到影響
經(jīng)過進一步分析��,研究小組指出���,大約 4 到 100 條用戶記錄出現(xiàn)在兩臺服務(wù)器上�����,并且鑒于每個用戶有多個日志��,這種暴露可能會影響至少 1500 萬人�。
值得注意的是,攻擊者能夠利用暴露的用戶配置文件服務(wù)器日志定位人員�����,并通過用戶的 IP 地址過濾用戶�。這意味著所披露的信息允許攻擊者獲得有關(guān)用戶的數(shù)字軌跡信息�,例如網(wǎng)頁瀏覽偏好和其他活動。
另外�����,研究人員表示��,這些服務(wù)器在被發(fā)現(xiàn)時依舊處于活動狀態(tài)�,并一直在積極更新信息。錯誤配置服務(wù)器背后的運營公司應(yīng)該對數(shù)據(jù)暴露事件負責(zé)��,ElasticSearch 和 SnowPlow Analytics 均不應(yīng)該對此次曝光負責(zé)。
此次數(shù)據(jù)暴露影響深遠��,Website Planet 已經(jīng)向有關(guān)當(dāng)局發(fā)出警報��,兩臺被暴露的服務(wù)器也都得到了保護���,但是尚不清楚是否有惡意意圖的第三方訪問了這些服務(wù)器 ����。
