Elasticsearch 数据库又不加密,3300 万中国应聘者个人信息泄露
source link: https://www.infoq.cn/article/OAFz1hX5tvQgHoY_ldPX?amp%3Butm_medium=referral
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
近日,安全研究员、GDI.Foundation 成员 Sanyam Jain 通过 SUDAN 搜索引擎发现了一个可被完全访问的 Elasticsearch 数据库,数据库中共包含有 57GB 的数据,数据内容是 3300 万中国应聘者的个人资料,暴露的数据包括求职者的用户名、性别、年龄、当前城市、家庭地址、电子邮件地址、电话号码、婚姻状况、工作历史、教育历史和工资历史等等。
2019 年 3 月 10 日,Jain 发现了这个数据库之后第一时间报告给了 Bleeping Computer,同时为了阻止数据库的暴露情况及保护数据库安全,Jain 还曾尝试寻找该数据库的所有者。
虽然当时 Jain 无法确定数据库所有者,但是他在数据中发现了多家中国招聘网站的“身影”,包括前程无忧、拉勾和智联招聘。“根据初步调查,该数据库中存储了来自前程无忧、拉勾和智联招聘的招聘数据,我认识是有一家第三方公司在收集这些公司的数据,并以某种方式在使用。”
3 月 11 日,Jain 联系了中国互联网应急中心 CNCERT,并于当天收到回复,CNCERT 已确定该 IP 地址的所有者为“北京到网络科技有限公司”,正在联系他们关闭数据库。
3 月 15 日,该数据库被关闭。
事实上,Elasticsearch 因不设密而导致的数据泄露事件并不在少数,仅仅是在 2019 年 2 月,笔者就报道过 6 起。虽然,Elasticsearch 的开源版本是不具备任何数据保护功能,但是企业在使用数据库时自身要提高安全意识,尤其是基础的保护措施一定要用起来:
1)服务器必须要有防火墙,不能随意对外开放端口;
2)Elasticsearch 集群的端口包括 TCP 和 HTTP,都不能暴露在公网;
3)Elasticsearch 集群禁用批量删除索引功能;
4)Elasticsearch 中保存的数据要做基本的脱敏处理;
5)加强监控和告警,能够在安全事件发生的第一时间感知并启动紧急预案,将损失降到最低 。
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK