無安全防護的Elasticsearch數據庫泄露了800萬的個人信息
責編:gltian |2019-05-22 10:57:14一個不安全的數據庫暴露了來自美國的800萬人的個人信息,他們參與了在線調查,抽獎和免費產品樣本的請求。這類網站為用戶提供優惠信息,但是用戶需要提供個人信息才能獲得。安全研究院就發現了一個沒有安全防護的Elasticsearch數據庫,該數據庫公開了向這些類型的網站提交條目的800萬人的個人信息。
在審查由Jain提供給BleepingComputer的記錄樣本時,顯示記錄包含個人信息,例如他們的全名,地址,電子郵件地址,電話號碼,出生日期,性別和IP地址。下面是一個編輯記錄的例子。
示例編輯記錄
每個記錄中還包括提交者或頁面,其中提交的信息來自。這些頁面用于在線抽獎,免費樣品請求和調查,如下所示。
查找數據庫所有者
當發現不安全的數據庫時,大多數研究人員所做的第一件事就是嘗試確定誰擁有它。不幸的是,這樣做并不容易。
在這個特殊情況下,Jain發現許多記錄都有一個包含“userenroll.com”域的字段。訪問此頁面時,它顯示它屬于名為PathEvolution的在線營銷公司。
起初很難與業主取得聯系,因此Jain聯系了托管數據庫的亞馬遜,提醒他們這是不安全的,并協助聯系公司并確保其安全。
最終,我通過發現PathEvolution歸一家名為Ifficient的母公司所有,追蹤數據庫的所有者,該公司將自己描述為“基于業績的營銷”公司。
負責人積極響應
當研究人員找到暴露的數據庫時,在許多情況下他們從未收到回復,或者如果他們這樣做,這些公司通常都不會感激。另一方面,Ifficient告訴我們,他們欣賞試圖保護互聯網上的數據的獨立研究人員的工作。
“我們非常感謝有關我們數據安全的任何信息,包括此處共享的信息。我們非常重視我們擁有的所有信息的隱私和安全。我們對此事的調查以及通知可能受影響的個人的努力(如果任何),在收到這些信息后立即進行并且正在進行中。謝謝。“
Jain告訴BleepingComputer,在報告這些數據庫時提供幫助而不是接受法律威脅總是很好。
“我首先要感謝組織采取這么快的行動來保護數據庫。我還想在看到這么多類型的案例后,組織培訓他們的員工有一個良好的基本安全衛生,以便這些問題不會繼續發生。