又有网站泄露数据,这次是一家成人网站,不过不是P站,而是国外一家叫CAM 4的成人网站。
导致这次泄露事故的原因据说是因为搜索引擎服务器 Elasticsearch 配置错误,高达7TB的数据泄露,从而使一系列生产数据库不受在线保护,任何使用 Web 浏览器的人都可以访问
此次泄露的数据库中合计包含高达108.8 亿条用户信息,包括用户的真实姓名、电子邮件、IP地址、哈希密码,甚至是各种聊天记录、性取向......
在所有泄漏数据中,大约有 1100 万条记录包含电子邮件,其中一些记录包含与来自多个国家或地区用户相关的电子邮件地址。据 SafetyDetectives 统计,这些用户主要来自美国、巴西、意大利等国家。其中,有超过50万名受害者来自中国。
Elasticsearch 原本是用来提供全文搜索服务的开源组件,不过也有不少公司直接将它当作数据库存储使用,但很多开发人员却忽略了它的安全性。
Elasticsearch 配置不正确导致数据泄露的问题已经不是个例,前有国内某婚庆网站因配置问题导致数据泄露,印度运输机构因为没有设置集群的安全权限超过11000辆公交车的实时实时位置
为了避免类似的事故发生,保障Elasticsearch 集群的网络安全,必须做到如下几点:
1、不要将默认端口暴露在公网,ElasticSearch默认使用的端口是9200,绑定的是localhost,但千万不能将端口暴露在公网上,服务器必须配置防火墙。因为ElasticSearch不需要任何权限就可以对索引增删改查。
2、不要以root身份运行Elasticsearch,单独创建用户运行ES,将用户权限最小化。
3、定期对 Elasticsearch 数据备份,Elasticsearch 本身是提供有备份还原机制,定期对数据备份,以防万一。
4、合理配置Elasticsearch 数据目录,确保Elasticsearch 目录分配合理读写权限,避免敏感信息泄露。
5、使用最新的Elasticsearch版本,Elasticsearch 老版本存在很多漏洞,升级到最新版本7.x免费提供TSL功能,可对通信进行加密,基于角色的访问控制。可用于控制用户对集群 API 和索引的访问权限
领取专属 10元无门槛券
私享最新 技术干货