整理 | 孙胜

出品 | CSDN（ID：CSDNnews）

今年 7 月，Security Discovery网站总监鲍勃·迪亚琴科（Bob Diachenko） 在暴露的Elasticsearch集群中发现了大量JSON记录，近200万条信息被泄露，其中包含有关人员的敏感信息，包括姓名、国籍、性别、出生日期、护照详细信息和禁飞状态。暴露的服务器已被搜索引擎Censys和ZoomEye编入索引，这表明Diachenko可能不是唯一访问该列表的人。

来源于网络

研究人员Bob Diachenko分析暴露字段的性质（例如护照详细信息和“no_fly_indicator”），发现这些信息似乎来自禁飞或类似的恐怖分子观察名单。此外，他还注意到一些难以理解的字段，例如“标签”、“提名类型”和“入选指标”等。

考虑到这些数据被视为高度机密，在协助国家安全和执法方面发挥着重要作用。于是在7月19日，Bob Diachenko急忙向美国国土安全部（DHS）报告了数据泄露事件。三周后，即2021年8月9日，暴露的服务器被关闭。

有趣的是，Bob Diachenko是在7月19日发现了暴露的数据库，但是该数据库位于巴林 IP 地址而非美国 IP 地址的服务器上。

数据泄露的影响

“鉴于这些数据中存在一个‘TSC_ID’的特定字段，暗示这些数据来源可能来自恐怖分子筛查中心 (TSC)。”Bob Diachenko在后面的报告中解释道。FBI 的TSC 被多个联邦机构用于管理和共享用于反恐目的的综合信息，该机构维护着“恐怖分子筛查数据库”的机密观察名单，有时也称为“禁飞名单”，航空公司和多个机构（例如国务院、国防部、运输安全局 (TSA) 和海关和边境保护局 (CBP)）会参考该列表，以检查乘客是否被允许乘飞机进入美国或评估他们危险级别。

来源于网络

Bob Diachenko认为这次数据泄露是非常严重的事件，“如果落入坏人之手，后果不堪设想，坏人可能会利用名单来骚扰或迫害名单上的人及其家人。”

Bob Diachenko也表示：“这次泄密可能会对嫌疑人产生负面影响，也会给名单上的无辜者带来个人问题和职业困扰，比如那些因拒绝成为线人而被列入“禁飞名单”。”

ElasticSearch 为何频发数据泄露

Elasticsearch是现在的Elastic于2010年首次发布的分布式免费开源搜索和分析引擎，具有快速实时搜索和可靠稳定的特点。很多企业都用作检索公司机密信息，提高工作效率。但是近年来，Elasticsearch数据泄露事件却频繁发生。

来源于Elastic官网

例如在2019 年 12 月 1 日，腾讯、新浪、搜狐和网易等公司，超过 27 亿个邮件地址数据被泄露。泰国移动运营商Advanced Info Service(AIS) 的Elasticsearch数据库于2020年5月1日被公开访问，数据库中包含了约83亿记录，数据体量约为4.7 TB。

Elasticsearch数据泄露发生的主要原因，在于Elasticsearch开源版本是不具备任何数据保护功能的，只有基本的攻击保护防火墙功能。

因此专家建议可以采取认证和授权、数据加密（通讯加密）、使用内部网络等方法避免发生数据泄露，或者加强预警，以便在安全事件发生的第一时间感知并启动紧急预案，将损失降到最低。

参考链接：

• https://www.bleepingcomputer.com/news/security/secret-terrorist-watchlist-with-2-million-records-exposed-online/

• https://cloud.tencent.com/developer/article/1580423

☞腾讯再投500亿元资金助力共同富裕；数学家将π计算到62.8万亿位；Go 1.17正式发布|极客头条☞邹欣对话图灵奖得主Jeffrey Ullman：数据库不会进入周期性的坏循环|《新程序员》☞“升级 iOS 最新系统后，我弃用了 iPhone！”