日前,安全研究员Daniel Brown披露了一个配置错误的Elasticsearch数据库。这个公开的数据库造成了大约800万条记录的泄露,其中有大量酒店客人信息,包括预订和个人身份信息、酒店内部备忘录、管理登录细节、发票和工作单等信息。目前该数据库已经离线。
据AavGo透露,该公司的客户包括皇冠假日酒店(Crowne Plaza)和戴斯酒店(DaysInn)。发生这种情况的原因是,这台服务器上安装的Elasticsearch数据引擎,没有激活身份验证机制,而且服务器本身可以通过internet访问,使得Elasticsearch数据能开放给任何人看。而这个服务器有来自生产系统的日志,所以它有很多敏感信息。
网络安全公司首席技术长兼联合创始人德拉姆斯表示,在使用Aavgo等云服务时,开发人员和工程师往往会行动过快,绕过关键的安全和合规政策。
“让服务器不受保护似乎是一个可以避免的简单错误,但越来越多的公司由于配置不当而遭受数据泄露,我们几乎每天都能在新闻中看到相关报道,”德拉姆斯说。“事实上,组织缺乏正确的工具来识别和纠正不安全的软件配置和部署。自动化云安全解决方案使企业能够检测到错误配置,并提醒适当的人员纠正问题,甚至可以实时触发自动化修复。”
值得一提的是,AavGo并不是第一家通过配置错误的Elasticsearch数据库公开数据的公司。今年1月,数据分析公司阿森松的Elasticsearch数据库被发现泄露了约2400万份金融和银行文件,11月,据信属于data & Leads Inc.的5700万份记录被发现以同样方式泄露。
作为专注数据资产保护的优炫软件,在数据安全方面拥有丰富经验与实践,旗下优炫数据库(UXDB)除常规安全防护手段外,最新版本还增加了SM2/SM3/SM4国密算法支持。 此外,优炫软件还通过数据库安全审计系统、数据库透明加密系统、数据备份系统、数据脱敏平台等一系列产品,全方位保证数据资产安全。
2019-07-26 09:15:37
