2022年05月14日
Website Planet 的 IT 安全研究人員發(fā)現(xiàn)了兩臺暴露的 ElasticSearch 服務(wù)器,經(jīng)過研究,確定服務(wù)器使用的是軟件供應(yīng)商SnowPlow Analytics開發(fā)的開源數(shù)據(jù)分析軟件,尚不清楚屬于那個(gè)組織。
數(shù)據(jù)分析軟件允許公司在其網(wǎng)站訪問者不知情的情況下跟蹤和存儲信息。值得注意的是,網(wǎng)絡(luò)分析工具可以收集多種數(shù)據(jù)指標(biāo),然后使用這些數(shù)據(jù)為網(wǎng)站訪問者創(chuàng)建一個(gè)廣泛、詳細(xì)的個(gè)人資料庫。
配置錯(cuò)誤的 ElasticSearch 服務(wù)器案例
據(jù)研究人員稱,這兩個(gè) ElasticSearch 服務(wù)器沒有任何加密或用戶驗(yàn)證措施,意味著任何人都可以在不需要密碼的情況下訪問這些數(shù)據(jù)。
這兩個(gè)不安全的、配置錯(cuò)誤的服務(wù)器最終暴露了大約 579.4GB 的用戶記錄數(shù)據(jù)(359019902條)。暴露的服務(wù)器包含網(wǎng)絡(luò)用戶流量的詳細(xì)日志,主要包括以下內(nèi)容:
推薦人頁面
時(shí)間戳IP
地理定位數(shù)據(jù)
訪問的網(wǎng)頁
網(wǎng)站訪問者的用戶代理數(shù)據(jù)
被曝光數(shù)據(jù)的細(xì)節(jié)
從 Website Planet 發(fā)表的文章來看,兩臺服務(wù)器暴露的用戶數(shù)據(jù)都集中在 2021 年兩個(gè)月份里。
第一個(gè)服務(wù)器主要包含了 2021 年 9 月的數(shù)據(jù),共 24728328 條記錄,約 389.7GB(2021 年 9 月 2 日和 10 月 1 日之間收集的數(shù)據(jù))。
第二臺服務(wù)器主要包含了 2021 年 12 月的數(shù)據(jù),共 116291574 條記錄,約 189.7GB(2021 年 12 月 1 日和 2021 年 12 月 27 日之間收集的數(shù)據(jù))。
1500 萬用戶可能受到影響
經(jīng)過進(jìn)一步分析,研究小組指出,大約 4 到 100 條用戶記錄出現(xiàn)在兩臺服務(wù)器上,并且鑒于每個(gè)用戶有多個(gè)日志,這種暴露可能會影響至少 1500 萬人。
值得注意的是,攻擊者能夠利用暴露的用戶配置文件服務(wù)器日志定位人員,并通過用戶的 IP 地址過濾用戶。這意味著所披露的信息允許攻擊者獲得有關(guān)用戶的數(shù)字軌跡信息,例如網(wǎng)頁瀏覽偏好和其他活動。
另外,研究人員表示,這些服務(wù)器在被發(fā)現(xiàn)時(shí)依舊處于活動狀態(tài),并一直在積極更新信息。錯(cuò)誤配置服務(wù)器背后的運(yùn)營公司應(yīng)該對數(shù)據(jù)暴露事件負(fù)責(zé),ElasticSearch 和 SnowPlow Analytics 均不應(yīng)該對此次曝光負(fù)責(zé)。
此次數(shù)據(jù)暴露影響深遠(yuǎn),Website Planet 已經(jīng)向有關(guān)當(dāng)局發(fā)出警報(bào),兩臺被暴露的服務(wù)器也都得到了保護(hù),但是尚不清楚是否有惡意意圖的第三方訪問了這些服務(wù)器 。