超 15,000 台 Elasticsearch 服务器被入侵，黑客欲让网络安全公司背锅

自 3 月 24 日以来，黑客入侵了 Elasticsearch 服务器，并试图擦除其内容。同时还留下了网络安全公司 Night Lion Securty 的名称，试图转移责任。

英国安全专家约翰·威辛顿（John Wethington）和 ZDNet 正在一起展开此案。

擦除数据，建立新索引

据英国安全研究人员约翰·威辛顿称，此次攻击似乎是在自动脚本的帮助下进行的，该脚本扫描 网络上不受保护的 ElasticSearch 系统，连接到其数据库，并尝试擦除其内容，然后创建一个新的空索引，称为 nightlionsecurity.com。

但攻击脚本似乎并非在所有情况下都有效，有些数据库中并未出现名为 nightlionsecurity.com 的索引。

但是，在许多 Elasticsearch 服务器上，擦除行为是显而易见的，因为日志条目只是在最近的日期附近中断。由于 Elasticsearch 服务器内部存储的数据具有高度易变性，因此很难量化删除数据的确切系统数量。

根据 BinaryEdge 搜索，大约有 150 台已损毁的 Elasticsearch 服务器，存在nightlionsecurity.com 索引的 Elasticsearch 服务器数量已增加到 15,000 多个。

考虑到 BinaryEdge 列出了直接在公共互联网上公开的总共 34,500 台 Elasticsearch 服务器，这个数据应该还不是此次黑客入侵事件的最终结果。

Elastic 安全团队目前正在对受攻击的服务器进行相关的处理研究。

网络安全公司：这锅我不背

Night Lion Security 的创始人 Vinny Troia 在与记者采访对话中，否认其公司与此次持续的攻击有任何关系。

Troia 表示，他相信攻击是由过去几年其公司一直跟踪的黑客进行的，对此他已将袭击事件和相关信息通知了执法部门。

频遭黑手的 Elastic

Elastic是一家荷兰－以色列公司，凭借其 Elasticsearch 技术，专门研究各种类型的数据。该技术已被组织广泛用作文档中的内部搜索引擎，而且还用于跟踪日志文件中的违规行为。

Elasticsearch 服务器被抹除数据已经不是一次两次了。在 2017 年的春季和夏季，多个黑客组织就曾对包括 Elasticsearch 在内的多种数据库技术进行了数据库勒索攻击。

2017 年的黑客攻击事件中，数千个 Elasticsearch 服务器的数据被擦除，并留下了赎金消息，邀请所有者支付赎金请求以恢复其数据（受害者不知道攻击者从未窃取或备份过数据，而只是删除了数据）。

在 2019 年 7 月，智能家居解决方案开发商 Orvibo 持用的一个大型 ElasticSearch 数据可，其中超过 20 亿条日志在网络中被公开。其中包含电子邮件地址、密码、密码重置信息、地理位置数据、IP 地址、用户名&标识符、通过智能相机进行的对话记录等；

2019 年 12 月，汉特 - 曼西自治区国家服务门户网站的 28,000 名客户信息被泄漏。该数据可由于 Elasticesearch 服务器的配置错误而变成了公共域中的数据库，泄漏的信息包含客户的姓名、电话、电子邮件和其他个人信息，比如可生育儿童的信息。除此之外，这些用户在门户网站中的授权令牌也被泄漏，这可以让截取到信息的第三方访问其在网站的个人帐户。