安全

大乐透走势图带坐标200:27 億電子郵件地址外泄!ElasticSearch數據庫再次中招

廣告
廣告

數據泄露事件近年來時有發生,哪怕是大體量的Facebook也未能幸免??梢運凳菪孤段蘼凼嵌雜沒Щ故嵌云笠道唇捕莢斐閃艘歡ǖ乃鶚Ш陀跋?。針對頻頻發生的數據泄露事件,不少企業都加大網絡安全建設力度,也起到了一定的成效,但數據泄露事件依舊屢禁不止。

近日,基于Lucene的搜索服務器ElasticSearch被曝數據泄露,而此次數據泄露的體量之大令人咋舌,其中包括有27 億個電子郵件地址, 10 億個電子郵件賬戶密碼以及一個裝載了近 80 萬份出生證明副本的應用程序。

根據資料顯示,本次被盜的27億個電子郵箱地址中,有10億個密碼都是簡單明文進行存儲。最令人擔憂的是,大部分被盜的郵件域名都來自于中國的郵件提供商,其中不乏騰訊、新浪、搜狐和網易等郵件提供商。當然,諸如雅虎、Gmail以及俄羅斯的郵件域名也未能“幸免于難”。

而這也不是ElasticSearch數據庫首次遭到泄露,早在2018年12月份,ElasticSearch就曾被曝在沒有密碼開放的狀態下泄露了將近5700萬美國民眾的個人信息,數據量超過73GB。而在這一年間,ElasticSearch數據庫的數據泄露事件也接二連三發生,不少用戶對ElasticSearch 服務器的安全性表示質疑。而本次數據泄露事件的爆發再次將ElasticSearch 推到了風口浪尖。

有研究人員表示,過去一年企業無意識的讓他們的 Amazon Web 服務 S3 和基于云計算的 ElasticSearch 存儲桶暴露出來。它們沒有任何適當的安全措施,也沒有被試圖鎖定的跡象。

研究人員表示,本次遭到泄露的 27 億個電子郵件地址尚無法證實是否有效。但其來源確屬違規已成定局。

根據消息顯示,除了電子郵件地址和密碼,本次泄露的數據還包括有電子郵件地址的 MD5,SHA1以及SHA256 散列。哈希加密的電子郵件地址文本具有固定的長度,因為存儲文本數據風險太大,所以往往會用來安全存儲數據,泄露數據庫的所有者用每個地址的 MD5、SHA1以及SHA256 散列對電子郵件地址進行了操作,很大可能是用來簡化關系數據庫的搜索。

對于本次數據泄露事件,尚不清楚是如何被泄露,究竟是內鬼所為還是黑客滲透還無法進行相關驗證。但足以說明ElasticSearch服務器的安全性還無法達到令人滿意的效果。

我還沒有學會寫個人說明!

2019年度IT168技術卓越獎名單:網絡產品類

上一篇

Talos網卡負載優化:基于個性化一致性哈希的負載均衡

下一篇

你也可能喜歡

27 億電子郵件地址外泄!ElasticSearch數據庫再次中招

長按儲存圖像,分享給朋友

ITPUB 每周精要將以郵件的形式發放至您的郵箱


微信掃一掃

微信掃一掃