今年 7 月,SecurityDiscovery 网站的网络威胁情报总监鲍勃·迪亚琴科(Bob Diachenko )在暴露的 Elasticsearch 集群中发现了大量 JSON 记录,近200万条信息被泄露,其中包含有关人员的敏感信息,包括姓名、国籍、性别、出生日期、护照详细信息和禁飞状态。暴露的服务器已被搜索引擎 Censys 和 ZoomEye 编入索引,这表明 Diachenko 可能不是唯一访问该列表的人。
研究人员Bob Diachenko发现暴露字段的性质(例如护照详细信息和“no_fly_indicator”),似乎属于禁飞或类似的恐怖分子观察名单。此外,他还注意到一些难以捉摸的字段,例如“标签”、“提名类型”和“入选指标”等。
考虑到此类数据库在协助国家安全和执法任务方面发挥的重要作用,此类数据库本质上被视为高度敏感。于是在同一天7月19日,Bob Diachenko 急忙向美国国土安全部(DHS)报告了数据泄露事件。三周后,即 2021 年 8 月 9 日,暴露的服务器被关闭。
数据泄露的影响
来源于网络
“鉴于数据的性质,这是唯一有效的猜测,而且有一个名为‘TSC_ID’的特定字段,”Bob Diachenko在后来的报告中解释道,暗示这些数据来源可能来自恐怖分子筛查中心 (TSC)。FBI 的TSC 被多个联邦机构用于管理和共享用于反恐目的的综合信息。该机构维护着名为“恐怖分子筛查数据库”的机密观察名单,有时也称为“禁飞名单”。
由于构成国家安全风险的恐怖分子或合理嫌疑人会被政府酌情“提名”列入秘密观察名单。航空公司和多个机构(例如国务院、国防部、运输安全局 (TSA) 和海关和边境保护局 (CBP))参考该列表,以检查乘客是否被允许飞行、不允许进入美国或评估他们对各种其他活动的风险。
有趣的是,Bob Diachenko是在 7 月 19 日发现了暴露的数据库,但是该数据库位于巴林 IP 地址而非美国 IP 地址的服务器上。
Bob Diachenko认为这次数据泄露是非常严重的事件,“如果落入坏人之手,后果不堪设想,坏人可能会利用名单来骚扰或迫害名单上的人及其家人。”
Bob Diachenko也表示:“这次泄密可能会对嫌疑人产生负面影响,也会给名单上的无辜者带来个人问题和职业困扰,比如那些因拒绝成为线人而被列入“禁飞名单”。”
ElasticSearch 为何频发数据泄露
来源于Elastic官网
Elasticsearch是现在的Elastic于2010年首次发布的分布式免费开源搜索和分析引擎,具有快速实时搜索和可靠稳定的特点。很多企业都用作检索公司机密信息,提高工作效率。但是近年来,Elasticsearch数据泄露事件却频繁发生。
例如在2019 年 12 月 1 日,腾讯、新浪、搜狐和网易等公司,超过 27 亿个邮件地址数据被泄露。泰国移动运营商Advanced Info Service(AIS)Elasticsearch数据库于2020年5月1日被公开访问,数据库中包含了约83亿记录,数据体量约为4.7 TB。
Elasticsearch数据泄露发生的主要原因,在于Elasticsearch 开源版本是不具备任何数据保护功能的,只有基本的攻击保护防火墙功能。
因此专家建议可以采取认证和授权、数据加密(通讯加密)、使用内部网络等方法避免发生数据泄露,或者加强预警,以便在安全事件发生的第一时间感知并启动紧急预案,将损失降到最低。
参考链接:
https://www.bleepingcomputer.com/news/security/secret-terrorist-watchlist-with-2-million-records-exposed-online/
https://cloud.tencent.com/developer/article/1580423
