讯 北京时间4月8日上午消息，据美国科技媒体ZDNet报道，有研究人员发现，中国企业今年前3个月出现数起简历信息泄露事故，涉及5.9亿份简历。大多数简历之所以泄露，主要是因为MongoDB和ElasticSearch服务器安全措施不到位，不需要密码就能在网上看到信息，或者是因为防火墙出现错误导致。 在过去几个月，尤其是过去几周，ZDNet收到一些服务器泄露信息的相关消息，这些服务器属于中国HR企业。发现信息泄露的安全研究者叫山亚·简恩（Sanyam Jain）。单是在过去一个月，简恩就发现并汇报了7宗泄露事件，其中已经有4起泄露事故得到修复。...

在有权访问数据库的公司将其留在没有密码的服务器上之后，道琼斯所拥有的风险个人和公司实体的观察名单已被泄露。独立安全研究员Bob Diachenko发现亚马逊网络服务托管的Elasticsearch数据库暴露了240多万个人或商业实体的记录。 这些数据是金融巨头的观察名单，该公司将其作为风险和合规工作的一部分。汤森路透(Thomson Reuters)等其他金融公司拥有自己的高风险客户（例如政治风险人士和恐怖分子）数据库， - 但多年来也出现过安全漏洞。...

讯 北京时间1月22日早间消息，据美国科技媒体ZDNet报道，美国一个网络赌博集团泄露1.08亿条赌博信息，里面包括客户的个人信息、存款及提款详情。 网络安全研究人员贾斯汀·潘恩（Justin Paine）说，这些信息是从ElasticSearch服务器泄露的，并在网上流传，不需要密码就能获得。 ElasticSearch是一个搜索引擎，企业喜欢用它来改进自有网络App的数据索引和搜索功能。一般来说这样的搜索引擎会装在内部网络，用来处理公司机密信息，信息不会泄露在网上。...

近日，创宇盾(Creation Shield, www.365cyd.com )网站安全舆情监测平台发现，国内某婚庆业务相关网站数百万数据因ElasticSearch服务配置不当完全暴露在公网上，目前已被国外安全研究人员公布在国外社交媒体上。 被公布的数据十分详细，包括身份证照片、电话号码、账号、密码、地址等。 安全提示：请相关业务网站管理人员及时检查网站服务配置，防止数据进一步泄露。相关业务消费者请及时修改账户密码，防止个人信息被恶意使用。知道创宇404积极防御实验室将密切跟进该事件。...

图一：2012 - 2014 年 PoS 恶意软件传播数量图 图二：研究人员检测结果 图三：恶意软件 AlinaPOS 与 JackPOS 漏洞攻击分布...

上周大量 MongoDB 数据库因没有密码保护遭到勒索，现在 Elasticsearch 服务器也面临此类威胁。

ElasticSearch 是一个基于 Lucene 的搜索服务器，提供了一个分布式多用户能力的全文搜索引擎，也是当前流行的企业级搜索引擎。 据安全专家 Victor Gevers ‏表示，目前已经有 2177 个 Elasticsearches 用户分别遭到两位黑客的勒索 。...