当前位置:首页 > 芯闻号 > 充电吧
[导读]身为驴(旅)友,花大把时间探索大千世界着实不错,如果运气好,找找宝藏,没准真能遇到堆满了金银财宝的“小金屋”。 不过,这都算不上离奇。最刺激的,宝藏被神秘人士仍在大街上,任你去取。连找的力气都省了,那

身为驴(旅)友,花大把时间探索大千世界着实不错,如果运气好,找找宝藏,没准真能遇到堆满了金银财宝的“小金屋”。

不过,这都算不上离奇。最刺激的,宝藏被神秘人士仍在大街上,任你去取。连找的力气都省了,那还不得乐昏过去?

或许你会问,世上哪有这等好事?别说,还真有!

近日,研究人员鲍勃·迪亚琴科( Bob Diachenko )和文尼·特罗亚( Vinny Troia )就发现了“宝箱”。

原来,这是一个 Elasticsearch 服务器,其中包含12亿用户账户,该服务器被公开在暗网上,任何人都可以“到此一游”。

数据来自何方?

研究人员分析,当人们通过 BinaryEdge 和 Shodan 寻找公开信息时,偶然发现服务器的IP地址可以追溯到 Google Cloud Services 。总体而言,该数据库存储着超过 4 TB 的公开数据供公众访问。

作为全文检索搜索引擎的核心技术, Elasticsearch 作为基于 Lucene 库的搜索引擎而存在,其被应用于企业信息网站、媒体网站、政府站点、商业网站、数字图书馆和搜索引擎中。

查看研究人员分享的详细信息后发现,该数据是从社交媒体平台(包括 Twitter , Facebook , LinkedIn 和 GitHub )中抓取,而该平台同样为 Git (一个开源的分布式版本控制系统)的存储库执行托管服务。

这些数据在服务器中被分类成四个不同的数据集,其中三个被标记为“ People Data Labs ”的数据代理,而另一个则被标记为“ OxyData ”的数据代理。

Troia 称,他在 People Data Labs ( PDL )中发现了自己 10 年前在 AT&T 公司办理的一个固话号码。这个号码他从未使用过,但是当时录入的信息却被保留在了这里。

经研究发现,在该服务器中包含了近 30 亿 PDL 用户记录,近 12 亿唯一人员和 6.5 亿唯一电子邮件地址。

这些数据数量不光与 PDL 公司的宣传相符,甚至研究人员还可以通过 PDL API 返回的信息来反向查询这些数据。

另外,研究人员通过将数据库和上述两家公司的公开数据进行比对,发现至少在一定程度上源自它们。研究人员在博客文章中专门针对 PDL 的措辞进行了详细说明:

在打开的 Elasticsearch 服务器上发现的数据几乎与 People Data Labs API 返回的数据完全匹配。唯一的区别是 PDL 返回的数据还包含教育历史记录。

从服务器下载的任何数据中都没有教育信息。其他所有内容都完全相同,包括具有多个电子邮件地址和多个电话号码的帐户。

但是, PDL 联合创始人 Sean Thorne 否认公司拥有该服务器的说法,并称,该服务器的所有者可能使用了 PDL 提供的一种扩充产品,以及其他数据扩充或许可性服务。

另一方面,4 TB 用户数据(包括 3.8 亿个配置文件)被证实来自OxyData公司,但是该公司同样回应称并没有服务器的所有权。

截止目前,研究人员并不能确定是谁将服务器公开在互联网上,但信息泄露意味着将会影响到两家公司的共同客户,并使其面临数据滥用的风险。

不是头一次了

除了这次事件, Elasticsearch 服务器曾多次被向公众公开,这同样将毫无戒心的用户和企业的个人数据置于风险之中:

今年早些时候,Elasticsearch服务器上公开了超过2000万俄罗斯公民的个人信息。

今年5月,在 Freedom Mobile 拥有的 Elasticsearch 数据库在线泄漏后,具有数百万加拿大人 CVV 码的个人和支付卡数据再次暴露。

去年 12 月,另一个包含 8200 万美国人个人信息的数据库在网上暴露了出来。

Elasticsearch 服务器有关的数据泄漏事件屡屡出现,也吸引了大量攻击者的目光,因为这可能成为其攻击行动的切入点。

Cequence Security 公司的一名黑客 Jason Kent 评论称,“我们看到一种不同于以往的全新且具有潜在危险的数据关联。如果攻击者持有丰富的数据集,那么就能够制作针对性极高的攻击。这种攻击可导致密码恢复信息、财务数据、通信模式、社会结构等被暴露,这是高级别在位人员可遭针对性攻击的方式。

联邦调查局尚未回应

两名研究员将这一发现上报了联邦调查局,尽管通常情况下几个小时内 Elasticsearch 服务器即可完成数据脱机操作。但是,后者在收到消息后并未给出明确回复。

ARM Insight 首席执行官 Randy Koch 分析,此次大规模数据泄露事件对那些被看成持有数据所有权的企业来说造成巨大破坏,同时也会造成数十亿人的信息外泄到世界各地。

所包含的个人数据如此庞大,加上识别数据所有者很复杂,因此有可能会引发我们现行隐私和数据泄露通知法律有效性的问题。

如果具有数据掌控权的公司将其用户信息收集并进行集中合成,则可以有效预防此事件,因为数据合成的过程在模仿真实数据的同时消除了用户的可识别特征。

正确合成后,它就不能被黑客进行逆向工程,并同时保留了原始数据集的所有统计价值,因此它仍然可以用于分析、市场营销、客户细分和AI算法训练等等。

但是,集中数据会抵消作为数据掌控企业的名誉,且在隐私、合规性上也颇具风险。

本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
换一批
延伸阅读

随着人工智能(AI)技术的迅速发展,人们对于通用人工智能(AGI,即Artificial General Intelligence)的期待也日益高涨。通用人工智能指的是具备像人类一样全面智能的计算机系统,能够执行各种复杂...

关键字: 人工智能 计算机 数据

在数字化时代,数据的数量和价值飞速增长,如何安全、有效地存储和管理这些数据成为了一个重要的问题。刻录机,作为一种同时具有数据存储和备份功能的设备,在这方面发挥着越来越重要的作用。本文将向大家介绍刻录机的定义、工作原理以及...

关键字: 刻录机 数据

在数字时代,数据已经成为企业的重要资产。随着云计算技术的快速发展,云服务器已成为企业和个人存储数据的重要平台。然而,数据的存储和处理也面临着多种安全威胁。本文将探讨如何使用云服务器确保存储数据的安全性。

关键字: 数据 云服务

北京——2023年9月21日,近期,亚马逊云科技作为参展商参与了久负盛名的IBC 2023 (欧洲广播电视展)并宣布推出一系列聚焦营收增长的媒体与娱乐(Amazon Web Services for M&E)行业解决方案...

关键字: 亚马逊 数据

STIF2023第四届国际科创节暨DSC2023国际数字服务大会(数服会)定于12月15日在北京举行,主题为:数实融合 推动高质量发展。日前,活动筹备工作正式启动。

关键字: 国际科创节暨 数据

随着信息时代的到来,数据存储成为了一项基本需求。Flash存储器成为了一种常见的存储设备,用于存储各种类型的数据,如文档、图片、视频等。本文将详细介绍如何使用Flash存储器以及如何写入数据,帮助读者了解Flash存储器...

关键字: Flash 存储器 数据

在信息爆炸时代,大量的数据涌现出来,如何准确、高效地理解和传达这些复杂的数据成为许多领域所面临的挑战。可视化作为一种强大的数据处理和展示手段,通过图形、图表和动画等方式将抽象的数据转化为直观的可视形式,帮助用户更容易地理...

关键字: 视觉化 数据 可视化技术

随着信息时代的到来,数据成为了我们生活和工作中不可或缺的一部分。然而,海量的数据对我们来说往往难以理解和利用。这时,数据可视化技术的出现为我们提供了一种直观、有效的方式来展示和解读数据。本文将探讨数据可视化的作用以及其在...

关键字: 数据 信息 可视化

直接操作数据?我们来举个例子:取一个整型数的相反数。一般的实现方法是这样的:

关键字: 数据 浮点 C 语言

NAND Flash存储器是一种非易失性存储器,广泛应用于各种电子设备中,如智能手机、平板电脑、数码相机等。它的高性能、高存储密度和低功耗使其成为现代电子设备的理想选择。本文将详细介绍NAND Flash存储器的工作原理...

关键字: 存储器 电子设备 数据
关闭
关闭