上网需谨慎!成人网站泄露7TB数据,内含超53万中国用户
又有网站泄露数据,这次是一家成人网站,不过不是P站,而是国外一家叫CAM 4的成人网站。导致这次泄露事故的原因据说是因为搜索引擎服务器 Elasticsearch 配置错误,高达7TB的数据泄露,从而使一系列生产数据库不受在线保护,任何使用 Web 浏览器的人都可以访问
此次泄露的数据库中合计包含高达108.8 亿条用户信息,包括用户的真实姓名、电子邮件、IP地址、哈希密码,甚至是各种聊天记录、性取向......
在所有泄漏数据中,大约有 1100 万条记录包含电子邮件,其中一些记录包含与来自多个国家或地区用户相关的电子邮件地址。据 SafetyDetectives 统计,这些用户主要来自美国、巴西、意大利等国家。其中,有超过50万名受害者来自中国。
Elasticsearch 原本是用来提供全文搜索服务的开源组件,不过也有不少公司直接将它当作数据库存储使用,但很多开发人员却忽略了它的安全性。Elasticsearch 配置不正确导致数据泄露的问题已经不是个例,前有国内某婚庆网站因配置问题导致数据泄露,印度运输机构因为没有设置集群的安全权限超过11000辆公交车的实时实时位置
为了避免类似的事故发生,保障Elasticsearch 集群的网络安全,必须做到如下几点:
1、不要将默认端口暴露在公网,ElasticSearch默认使用的端口是9200,绑定的是localhost,但千万不能将端口暴露在公网上,服务器必须配置防火墙。因为ElasticSearch不需要任何权限就可以对索引增删改查。
2、不要以root身份运行Elasticsearch,单独创建用户运行ES,将用户权限最小化。
3、定期对 Elasticsearch 数据备份,Elasticsearch 本身是提供有备份还原机制,定期对数据备份,以防万一。
4、合理配置Elasticsearch 数据目录,确保Elasticsearch 目录分配合理读写权限,避免敏感信息泄露。
5、使用最新的Elasticsearch版本,Elasticsearch 老版本存在很多漏洞,升级到最新版本7.x免费提供TSL功能,可对通信进行加密,基于角色的访问控制。可用于控制用户对集群 API 和索引的访问权限
素材来源于网络,侵删!
举报/反馈
最近更新热点资讯
- 谷歌AI聊天记录让网友San值狂掉:研究员走火入魔认为它已具备人格,被罚带薪休假
- 豆瓣9.4,姐弟恋、三人行,这部大尺度太厉害
- Genes, Intelligence, Racial Hygiene, Gen
- 【土耳其电影】《冬眠》电影评价: 宛如一部回归伯格曼风格的道德剧
- 陌生人社会伦理问题研究
- 理论研究|前海实践的价值理性和工具理性
- 澳门刑事证据禁止规则
- 综艺普及剧本杀和密室逃脱助力线下实体店爆发式增长
- 日本小伙和五个小姐姐同居?看完我酸了!
- 第一学期高一语文考试期中试卷
- 高中必考的物理公式有哪些
- 这部大尺度的申奥片,却讲述了不lun恋...
- 心理语言学论文精品(七篇)
- 《贵妃还乡》 超清
- 专论 | 郭丹彤、陈嘉琪:古代埃及书信中的玛阿特观念
- 微专业招生 | 数字文化传播微专业列车即将发车,沿途课程抢先看!
- 生态安全的重要性汇总十篇
- 原创因“18禁”电影登舆论顶峰,万千少女一场春梦:这一生,足够了
- 章鱼头
- 读书心得体会
- 考研考北京大学医学部或者协和是一种怎样的难度?
- 央媒评女主播编造“夜宿故宫”:让肇事者付出代价,理所应当
- 库欣病患者求医记(流水账)
- 《太平公主》④ | 地位越高,越要装傻
- 爱体检 安卓版 v2.5