首页 >> 网络安全 >>极客新闻 >> Elasticsearch Server中暴露的12亿个人的个人数据
详细内容

Elasticsearch Server中暴露的12亿个人的个人数据

安全研究人员最近发现了新的大规模数据泄露事件。显然,2019年10月16日,Data Viper安全研究人员Bob Diachenko和Vinny Troia发现了一个开放的Elasticsearch服务器,其中包含“ 前所未有的40亿用户帐户,跨越4 TB的数据。”


该服务器无需身份验证即可访问,该身份验证暴露了超过12亿个人的数据。这使得数据泄露从迄今的单一来源的最大的数据泄露之一。


暴露的12亿个人的信息

研究人员说,包含公开信息的Elastic搜索服务器没有受到保护,可以通过Web浏览器访问,网址为http://35.199.58.125:9200,并补充说没有密码或任何形式的身份验证来保护数据。


应该注意的是,Elasticsearch将其信息存储在类似于数据库的索引中。大多数数据跨越4个单独的数据索引,分别标记为“ PDL”和“ OXY”,每个索引约有10亿人的信息。每个用户记录都有这两个标签之一作为源字段。


基于Data Viper的数据分析,现在可以安全地假设PDL索引中的数据来自数据收集和充实公司People People Labs。


研究人员对近30亿个人数据实验室(PDL)用户记录进行了重复数据删除,发现了12亿个人,以及6.5亿个人电子邮件地址。这些数字与People Data Labs网站上提供的统计信息相对应。


“ 三个不同的PDL索引中的数据也略有不同,其中一些集中在抓取的LinkedIN信息,电子邮件地址和电话号码上,而其他索引则提供了有关个人社交媒体配置文件(例如某个人的Facebook,Twitter和Github URL)的信息,”报告说。


值得注意的是,PDL应用程序可用于搜索超过15亿的唯一身份人员以及个人地址,电子邮件地址,LinkedIn URL和电话号码。


在打开的Elasticsearch服务器上发现的数据几乎与People Data Labs API返回的数据完全匹配。唯一的区别是PDL返回的数据还包含教育历史记录。从服务器下载的任何数据中都没有教育信息。其他所有内容都完全相同,包括具有多个电子邮件地址和多个电话号码的帐户。


至于标有“ OXY”的数据,分析使研究人员来到了OxyData.io,这也是一家数据充实公司。报告称:“ OxyData的网站声称拥有4TB的用户数据(恰好是发现的数量),但只有3.8亿个人资料。” 这些数据大部分是从LinkedIn上刮下来的,包括招聘人员的详细信息。研究人员联系了OxyData,发现服务器甚至不属于它们。


该公司拒绝提供API的访问权限,以便研究人员可以测试和比较配置文件。但是,该公司发送了研究者自己的记录的副本,这也证实了该记录是从LinkedIn上刮下来并与个人匹配的。


“ 由于其中包含的大量个人信息,加上识别数据所有者的复杂性,这有可能对我们当前的隐私和违规通知法的有效性提出疑问,” Data Viper 总结道。

技术支持: 建站ABC | 管理登录