27 亿电子邮件地址外泄！ElasticSearch数据库再次中招

数据泄露事件近年来时有发生，哪怕是大体量的Facebook也未能幸免。可以说数据泄露无论是对用户还是对企业来讲都造成了一定的损失和影响。针对频频发生的数据泄露事件，不少企业都加大网络安全建设力度，也起到了一定的成效，但数据泄露事件依旧屡禁不止。

近日，基于Lucene的搜索服务器ElasticSearch被曝数据泄露，而此次数据泄露的体量之大令人咋舌，其中包括有27 亿个电子邮件地址， 10 亿个电子邮件账户密码以及一个装载了近 80 万份出生证明副本的应用程序。

根据资料显示，本次被盗的27亿个电子邮箱地址中，有10亿个密码都是简单明文进行存储。最令人担忧的是，大部分被盗的邮件域名都来自于中国的邮件提供商，其中不乏腾讯、新浪、搜狐和网易等邮件提供商。当然，诸如雅虎、Gmail以及俄罗斯的邮件域名也未能“幸免于难”。

而这也不是ElasticSearch数据库首次遭到泄露，早在2018年12月份，ElasticSearch就曾被曝在没有密码开放的状态下泄露了将近5700万美国民众的个人信息，数据量超过73GB。而在这一年间，ElasticSearch数据库的数据泄露事件也接二连三发生，不少用户对ElasticSearch 服务器的安全性表示质疑。而本次数据泄露事件的爆发再次将ElasticSearch 推到了风口浪尖。

有研究人员表示，过去一年企业无意识的让他们的 Amazon Web 服务 S3 和基于云计算的 ElasticSearch 存储桶暴露出来。它们没有任何适当的安全措施，也没有被试图锁定的迹象。

研究人员表示，本次遭到泄露的 27 亿个电子邮件地址尚无法证实是否有效。但其来源确属违规已成定局。

根据消息显示，除了电子邮件地址和密码，本次泄露的数据还包括有电子邮件地址的 MD5，SHA1以及SHA256 散列。哈希加密的电子邮件地址文本具有固定的长度，因为存储文本数据风险太大，所以往往会用来安全存储数据，泄露数据库的所有者用每个地址的 MD5、SHA1以及SHA256 散列对电子邮件地址进行了操作，很大可能是用来简化关系数据库的搜索。

对于本次数据泄露事件，尚不清楚是如何被泄露，究竟是内鬼所为还是黑客渗透还无法进行相关验证。但足以说明ElasticSearch服务器的安全性还无法达到令人满意的效果。