标签: Elasticsearch

研究人员发现中国企业简历信息泄露:涉5.9亿份简历

新浪科技讯 北京时间4月8日上午消息,据美国科技媒体ZDNet报道,有研究人员发现,中国企业今年前3个月出现数起简历信息泄露事故,涉及5.9亿份简历。大多数简历之所以泄露,主要是因为MongoDB和ElasticSearch服务器安全措施不到位,不需要密码就能在网上看到信息,或者是因为防火墙出现错误导致。 在过去几个月,尤其是过去几周,ZDNet收到一些服务器泄露信息的相关消息,这些服务器属于中国HR企业。发现信息泄露的安全研究者叫山亚·简恩(Sanyam Jain)。单是在过去一个月,简恩就发现并汇报了7宗泄露事件,其中已经有4起泄露事故得到修复。 例如,3月10日,简恩发现有一台ElasticSearch不安全,里面存放3300万中国用户的简历。他将问题报告给中国国家计算机应急响应小组(CNCERT),4天之后数据库修正了问题。 3月13日,简恩又发现一台ElasticSearch不安全,里面存放8480万份简历,在CNCERT的帮助下,问题也得到解决。 3月15日,简恩又找到一台问题ElasticSearch服务器,里面存放9300万份简历。简恩说:“数据库意外离线,我向CNCERT汇报,还没有收到回应。” 第四台服务器存放来自中国企业的简历数据,里面有900万份简历,服务器同样来自ElasticSearch。 还有第五个泄露点,这是一个ElasticSearch服务器集群,里面存放的简历超过1.29亿份。简恩无法确认所有者,目前数据库仍然门户大开。 简恩还发现另外两个泄露点,只是规模较小。一台ElasticSearch服务器存放18万份简历,一台存放17000份简历。 简单统计,中国企业在过去3个月泄露的简历达以5.90497亿份。   (稿源:新浪科技,封面源自网络。)

道琼斯公司 240 万高风险客户的观察名单已遭泄露

在有权访问数据库的公司将其留在没有密码的服务器上之后,道琼斯所拥有的风险个人和公司实体的观察名单已被泄露。独立安全研究员Bob Diachenko发现亚马逊网络服务托管的Elasticsearch数据库暴露了240多万个人或商业实体的记录。 这些数据是金融巨头的观察名单,该公司将其作为风险和合规工作的一部分。汤森路透(Thomson Reuters)等其他金融公司拥有自己的高风险客户(例如政治风险人士和恐怖分子)数据库, – 但多年来也出现过安全漏洞。 一个2010年的小册子指出道琼斯观察名单是为使客户能够对数据库中的任何个人或公司“轻松,准确地识别高风险客户提供详细,最新的配置文件”。这本小册子称,当时数据库有650,000个条目。 这包括现任和前任政治家,受制裁的个人或公司,或被判犯有欺诈等高调金融犯罪的人,或与恐怖主义有联系的任何人。根据TechCrunch发现的泄露数据库中的记录,名单上的许多人都包括“特殊利益者”。 Diachenko 撰写了他的调查结果,称该数据库是“索引、标记和搜索的”。 这些数据都是从公共资源中收集的,例如新闻报道和政府档案。许多个人记录都来自道琼斯的Factiva新闻档案,该档案从许多新闻来源收集数据 – 包括道琼斯旗下拥有的《华尔街日报》。然而,包含个人或公司名称,或者名称存在于数据库中的原因,是专有的并且受到严密保护。 BBC此前报道称,许多金融机构和政府机构使用该数据库来批准或拒绝融资,甚至是关闭银行账户。 Diachenko此次发现的记录变化很大,但可以包括名称、地址、城市及其位置,是否已经死亡,在某些情况下还包括照片。Diachenko还发现了出生日期和性别。每个配置文件都有从Factiva和其他来源收集的大量笔记。 随机发现的一个名字是Badruddin Haqqani,他是塔利班有关的哈卡尼游击队叛乱网络的指挥官。2012年,美国财政部对 Haqqani和其他参与资助恐怖主义行为的人实施制裁。几个月后,他在巴基斯坦的一次美国无人机袭击中丧生。Haqqani的数据库记录被列入“制裁名单”和“恐怖主义”,其中包括以下内容: DOW JONES NOTES: Killed in Pakistan’s North Waziristan tribal area on 21-Aug-2012. OFFICE OF FOREIGN ASSETS CONTROL (OFAC) NOTES: Eye Color Brown; Hair Color Brown; Individual’s Primary Language Pashto; Operational Commander of the Haqqani Network EU NOTES: Additional information from the narrative summary of reasons for listing provided by the Sanctions Committee: Badruddin Haqqani is the operational commander for the Haqqani Network, a Taliban-affiliated group of militants that operates from North Waziristan Agency in the Federally Administered Tribal Areas of Pakistan. The Haqqani Network has been at the forefront of insurgent activity in Afghanistan, responsible for many high-profile attacks. The Haqqani Network’s leadership consists of the three eldest sons of its founder Jalaluddin Haqqani, who joined Mullah Mohammed Omar’s Taliban regime in the mid-1990s. Badruddin is the son of Jalaluddin and brother to Nasiruddin Haqqani and Sirajuddin Haqqani, as well as nephew of Khalil Ahmed Haqqani. Badruddin helps lead Taliban associated insurgents and foreign fighters in attacks against targets in south- eastern Afghanistan. Badruddin sits on the Miram Shah shura of the Taliban, which has authority over Haqqani Network activities. Badruddin is also believed to be in charge of kidnappings for the Haqqani Network. He has been responsible for the kidnapping of numerous Afghans and foreign nationals in the Afghanistan-Pakistan border region. UN NOTES: Other information: Operational commander of the Haqqani Network and member of the Taliban shura in Miram Shah. Has helped lead attacks against targets in southeastern Afghanistan. Son of Jalaluddin Haqqani (TI.H.40.01.). Brother of Sirajuddin Jallaloudine Haqqani (TI.H.144.07.) and Nasiruddin Haqqani (TI.H.146.10.). Nephew of Khalil Ahmed Haqqani (TI.H.150.11.). Reportedly deceased in late August 2012. FEDERAL FINANCIAL MONITORING SERVICES NOTES: Entities and individuals against whom there is evidence of involvement in terrorism. 道琼斯公司发言人Sophie Bent表示:“这个数据集是我们的风险和合规性产品的一部分,完全来自公开的来源。Bent认为“授权的第三方”应该对此次泄露事件负责。 我们询问了道琼斯的具体问题,例如数据泄漏的来源是谁以及是否会向美国监管机构和欧洲数据保护机构报告,但该公司不会对此记录发表评论。 两年前,道琼斯承认类似的云存储错误配置暴露了220万客户的名称和联系信息,包括《华尔街日报》的订阅者。该公司将此事件描述为一个“错误”。     (稿源:cnBeta,封面源自网络。)

美国多个赌博网站泄露 1.08 亿条信息 包括支付卡资料

新浪科技讯 北京时间1月22日早间消息,据美国科技媒体ZDNet报道,美国一个网络赌博集团泄露1.08亿条赌博信息,里面包括客户的个人信息、存款及提款详情。 网络安全研究人员贾斯汀·潘恩(Justin Paine)说,这些信息是从ElasticSearch服务器泄露的,并在网上流传,不需要密码就能获得。 ElasticSearch是一个搜索引擎,企业喜欢用它来改进自有网络App的数据索引和搜索功能。一般来说这样的搜索引擎会装在内部网络,用来处理公司机密信息,信息不会泄露在网上。 上周,潘恩发现一些敏感信息,这些信息来自在线赌博门户网站。虽然开放的服务器只有一台,但是里面的数据相当庞大,来自数个网络域名。 经过一番分析,潘恩认定这些域名全都用来运营网络赌场,用户可以下注参与。潘恩发现总计大约有1.08亿条记录曝光,里面有押注、获胜、存款、取款信息。在存款和取款信息里还有支付卡资料。   稿源:新浪科技,封面源自网络;

攻击预警 | 国内某婚庆业务相关网站数百万数据遭暴露

近日,创宇盾(Creation Shield, www.365cyd.com )网站安全舆情监测平台发现,国内某婚庆业务相关网站数百万数据因ElasticSearch服务配置不当完全暴露在公网上,目前已被国外安全研究人员公布在国外社交媒体上。 被公布的数据十分详细,包括身份证照片、电话号码、账号、密码、地址等。 安全提示:请相关业务网站管理人员及时检查网站服务配置,防止数据进一步泄露。相关业务消费者请及时修改账户密码,防止个人信息被恶意使用。知道创宇404积极防御实验室将密切跟进该事件。 了解业务安全舆情监测服务:https://www.yunaq.com/gpt/

逾 4000 台 ElasticSearch 服务器遭 POS 恶意软件感染

据外媒报道,网络安全公司 Kromtech 研究人员发现逾 4,000 台 ElasticSearch 服务器遭两款流行恶意软件 AlinaPOS 与 JackPOS 肆意感染,其中美国地区受影响情况最为严重。然而,相关调查显示,虽然受感染日期最早可追溯至 2016 年,但最近一次恶意传播发生在今年 8 月。另外,值得注意的是,近 99% 的受感染服务器托管于亚马逊网络服务( AWS )中。 恶意软件 AlinaPOS 与 JackPOS 自 2012 年以来一直存在且颇受网络犯罪分子欢迎。此外,研究人员发现这两款恶意软件早前就已在暗网出售并被广泛传播。 图一:2012 – 2014 年 PoS 恶意软件传播数量图 近期,Kromtech 安全研究人员通过搜索引擎发现超过 15,000 台 ElasticSearch 服务器无需安全验证即可登录访问,其中逾 4000 台(约 27%)ElasticSearch 命令和控制(C&C)服务器存在 PoS 恶意软件。研究人员表示,攻击者使用 ES 服务器的主要原因是因为它们的配置不仅允许读取文件,还可以在无需额外确认下输入/安装外部文件。此外,部分 ElasticSearch 服务器访问无需身份验证,因此允许攻击者对暴露的实例进行完全管理控制,这也为攻击者开辟了一系列可能性,即从隐藏资源与远程代码执行开始,完全破坏此前保存的所有数据。 图二:研究人员检测结果 Kromtech 研究员 Bob Diachenko 在博客中写道:“为什么是亚马逊 AWS ?因为亚马逊网络服务提供免费的 T2 micro(EC2)实例,且存储磁盘空间最高可达 10 GB。与此同时,T2 micro 只允许安装在 ES 1.5.2 与 2.3.2 版本中使用 ”。目前,每台受感染的 ES 服务器不仅具备 POS 恶意软件客户端的命令与控制(C&C)功能,还可作为 POS 僵尸网络的其中一处节点,允许攻击者从 POS 终端、RAM 存储器或受感染的 Windows 设备中收集、加密与转移用户私人信息。 图三:恶意软件 AlinaPOS 与 JackPOS 漏洞攻击分布 Kromtech 已通知受影响公司并试图与亚马逊取得联系,不过亚马逊尚未作出任何置评。然而,对于使用 ElasticSearch 服务器的用户来说,研究人员建议他们正确配置服务器、关闭所有未使用的端口、检查日志文件、网络连接,以及流量使用情况。 原作者:India Ashok, 译者:青楚     本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

与 MongoDB 同病相怜:Elasticsearch 服务器也被勒索敲诈

上周大量 MongoDB 数据库因没有密码保护遭到勒索,现在 Elasticsearch 服务器也面临此类威胁。 ElasticSearch 是一个基于 Lucene 的搜索服务器,提供了一个分布式多用户能力的全文搜索引擎,也是当前流行的企业级搜索引擎。(百度百科) 据 Elastic 官方论坛显示,某用户的 ES 测试集群服务器上的所有索引被删除,并在那里创建一个新的索引“警告”: 发送 0.2 比特币到此地址 1DAsGY4Kt1a4LCTPMH5vm5PqX32eZmot4r ,如果您想要恢复您的数据库!或是发送到此电子邮件 p1l4t0s@sigaint.org 据安全专家 Victor Gevers ‏表示,目前已经有 2177 个 Elasticsearches 用户分别遭到两位黑客的勒索 。 研究员 Mike Paquette 透过 博客 指出,可通过配置服务器来避免此类问题。 · 备份数据 · 重新配置环境以隔离公网 · 通过防火墙,VPN,反向代理或其他技术限制访问条件 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。