ElasticSearch 安全事故頻發(fā)

ElasticSearch 是一個(gè)搜索引擎，企業(yè)一般用它來改進(jìn)自有網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)索引和搜索功能，通常會(huì)裝在內(nèi)部網(wǎng)絡(luò)用來處理公司機(jī)密信息，信息不會(huì)泄露在網(wǎng)上，因?yàn)橥ǔＬ幚淼氖枪緝?nèi)部最敏感的信息。

雖然 ElasticSearch 通常在公司內(nèi)部運(yùn)行，但近年因?yàn)槠湮醇用芏l(fā)生的數(shù)據(jù)泄露事件不在少數(shù)：

2017 年，白帽匯曾對(duì)全球使用 ElasticSearch 引擎發(fā)生的勒索事件進(jìn)行監(jiān)測(cè)，最終發(fā)現(xiàn)因被攻擊而刪除的數(shù)據(jù)至少 500 億條，被刪除數(shù)據(jù)規(guī)模至少 450TB。系統(tǒng)顯示，互聯(lián)網(wǎng)上公開可訪問的 ElasticSearch 服務(wù)器超過 68000 余臺(tái)，受害總數(shù)達(dá) 9750 臺(tái)。其中，美國 4380 臺(tái)，中國第二為 944 臺(tái)，其余來自法國、愛爾蘭和新加坡等地。此次事件后，1% 的 Elasticsearch 啟用了驗(yàn)證插件，另外有 2% 則關(guān)閉了 Elasticsearch。

2018 年 11 月份，美國還曾發(fā)生一起 ElasticSearch 服務(wù)器在沒有密碼的開放狀態(tài)下泄露了將近 5700 萬美國民眾個(gè)人信息的事件。當(dāng)時(shí)共泄漏超過 73GB 數(shù)據(jù)，并且?guī)讉€(gè)數(shù)據(jù)庫被緩存在服務(wù)器內(nèi)存中，其中一個(gè)數(shù)據(jù)庫包含的個(gè)人信息就達(dá)到了 56,934,021 份。

2018 年 12 月份，巴西最大的訂閱電視服務(wù)之一的 Sky Brasil 在沒有密碼的情況下將 ElasticSearch 服務(wù)器暴露在互聯(lián)網(wǎng)上，其 3200 萬客戶數(shù)據(jù)在網(wǎng)上暴露了很長(zhǎng)時(shí)間，存儲(chǔ)數(shù)據(jù)包括客戶姓名、電子郵件地址、密碼、付費(fèi)電視包數(shù)據(jù)、客戶端 IP 地址、個(gè)人地址、付款方式、設(shè)備型號(hào)等。

安全建議

回顧幾起案例，相似之處在于 ElasticSearch 服務(wù)器均在沒有密碼保護(hù)的情況下遭到泄露，因此企業(yè)應(yīng)該對(duì)該服務(wù)器進(jìn)行加密，如果不喜歡付費(fèi)軟件，網(wǎng)絡(luò)中也有很多開源工具可供選擇;其次，升級(jí)目前所用的 ElasticSearch 版本，較高版本暫時(shí)安全性更好;最后，如果選用了與 ElasticSearch 一起使用的集成工具，也需要檢查這些工具是否會(huì)存在漏洞并做好加密工作。