技术编辑:徐九丨发自 瑟瑟发抖
SegmentFault 思否报道丨公众号:SegmentFault
近日,一个成人网站泄露了 108 亿的数据,也让其中 50 万中国用户的信息被曝光。泄露的数据包含大量个人身份信息,包含姓名、性取向、电子邮件、IP 地址、支付记录和聊天记录等...
泄露 108 亿条记录的成人视频网站
据 PingComputer 报道,因 Elasticsearch 集群错误配置,成人视频网站 CAM4 发生重大数据泄露事件。
CAM4 是主要面向欧美受众,一个广受欢迎的成人直播平台,不少素人会通过直播摄像头在平台上直播成人内容。据悉 CAM4 每年有近 20 亿访客,其成员每周在上面花费的时间超过 100 万个小时,平台每天播放超过 75999 个私人节目。
此次据安全研究者 Anurag Sen 领导的安全审查网站 Safety Detectives 报道,其发现 CAM4 配置了错误的 ElasticSearch 生产数据库,因此很容易查找和查看大量用户身份信息以及欺诈和垃圾邮件检测日志。
据悉,本次泄露的数据量超 7TB,存储着超过 108 亿条记录。根据透露的信息显示,本次泄露的数据包含大量个人身份信息,涵盖姓名、电子邮件地址、地址、注册信息等,甚至还包含用户的支付记录和性取向...
Safety Detectives 团队在社交媒体上发布了一份调查数据,分析了每个国家受影响的用户数。其中,美国泄露了 660 万用户信息,排名第二的是 480 万的巴西。值得注意的是,其中还包含了接近 54 万中国用户的信息。
运营该网站的公司在收到安全报告后,已经下线了该数据库。虽然这并不足以弥补泄露的发生,但是至少可以看出,公司的响应是迅速的。
针对此次数据泄露事件,CAM4 公司在一份声明中表示,“毫无疑问,包括姓名、地址、电子邮件、IP 地址或财务数据在内的任何个人身份信息,都没有被 Safety Detectives 团队和 CAM4 调查人员之外的人所访问。”
虽然目前还没有证据表明 CAM4 是被黑客有意进行了攻击,也没有证据表明数据库被恶意行为者访问了,但这并不意味着没有被黑客窃取数据。
数据泄露无法忽视的潜在威胁
安全顾问 Bob Diachenko 说,“对我来说,看到大量暴露的 ElasticSearch 服务器其实非常常见。但令人惊讶的是这次公布数据的详细程度。”
我们都知道个人隐私数据很重要,泄露出去除了被买卖交易外,还会存在很多其他的风险。
尤其是包含大量且详细信息的数据泄露事件,危害极大。因为攻击者可能利用泄露的个人身份数据(PII),实施多种攻击,包括鱼叉式钓鱼攻击、勒索活动、身份窃取和多种类型的欺诈活动等。
试想,如果有人对此次泄露的数据进行了数据挖掘和数据分析,那么他们可能已经得到了相当多人的信息,包括性取向、交易记录等极度个人隐私信息,从而从道德层面进行勒索。
“司空见惯”的 ElasticSearch 数据泄露
ElasticSearch 服务器的问题,是造成无数备受关注的数据泄露的原因。通常这类服务器仅供内部使用,但一旦配置错误使其处于在线状态,没有密码保护,就会存在巨大的安全隐患。
尽管自 2019 年 5 月以来 ElasticStack 的核心安全功能已免费,但安全研究人员发现,每天仍然能发现很多配置错误和不安全的 ElasticSearch 服务器。
此次事件发生后,Elastic 开发团队也再次强调并建议数据库管理员“通过密码保护,基于角色的访问控制和 IP 过滤防止未经授权的访问”以及为内置用户设置密码来保护 ElasticSearch 服务器的安全性。
近两年,数据泄露事件频发,网络信息安全已成为不容忽视的问题,希望各厂商、开发者能够重视安全问题,避免造成不必要的损失。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。