Elasticsearch 再发数据泄露事件，190 万条 JSON 记录竟是恐怖分子观察名单！

FBI 恐怖分子名单遭泄露

FBI 管理的 190 万恐怖分子观察名单副本在 2021 年 7 月 19 日至 8 月 9 日期间在网上曝光了三周，其中包括机密的 "禁飞"记录。

2003 年 FBI 为应对类似 9/11 恐怖袭击，遂创建恐怖分子筛查中心 (TSC)。

TSC 收集了大量“已知或合理怀疑参与恐怖活动”的人员姓名和个人详细信息，其中包括包括国籍、性别、出生日期、护照号码、发行国、禁飞指示灯，并将其存储在联邦调查局管理的数据库中。

安全公司 Security Discovery 的网络威胁情报总监 Bob Diachenko 表示，他在 7 月 19 日发现了被曝光的数据库，这个数据库存放在拥有巴林 IP 地址的服务器上，而不是在美国​。同一天，Bob Diachenko 向美国国土安全部（DHS）报告了数据泄露。大约三周后，即 2021 年 8 月 9 日，被曝光的服务器下线。

“暴露的 Elasticsearch 集群包含 190 万条记录，”Diachenko 说。“我不知道它存储了多少完整的 TSC 监视列表，但整个列表被曝光似乎是合理的。”

被曝光的服务器被搜索引擎 Censys 和 ZoomEye 收录，这表明 Bob Diachenko 可能不是唯一接触到该名单的人。

该数据库由 FBI 管理，同时还向其他几个美国政府机构提供访问权限，包括美国国务院、国防部、运输安全局、海关和边境保护局等，甚至是一些国际执法机构。

虽然该数据库包含可疑恐怖分子的数据，但它在流行文化中也被称为美国禁飞名单，主要由美国当局和国际航空公司用于决定是否允许人员进入美国或在其领土内旅行，以及评估他们从事其他各种活动的风险。

目前尚不清楚泄露来源，是从 FBI 的数据库直接泄露，还是从他的拥有访问权限的机构系统中泄露出去。

这次的泄露或将刺激真正的恐怖分子，他们的行为或许会因为此次泄露而更谨慎，或是更激进。信息泄露也会给部分疑似而非真实恐怖分子的人员带来生活工作中的困扰。

ElasticSearch 数据泄露频发

ElasticSearch 是一个搜索引擎，企业一般用它来改进自有网络内的数据索引和搜索功能，通常会装在内部网络用来处理公司机密信息，信息不会泄露在网上，因为通常处理的是公司内部最敏感的信息。

虽然 ElasticSearch 通常在公司内部运行，但近年因为其未加密而发生的数据泄露事件不在少数：

2017 年，白帽汇曾对全球使用 ElasticSearch 引擎发生的勒索事件进行监测，最终发现因被攻击而删除的数据至少 500 亿条，被删除数据规模至少 450TB。

2018 年 11 月份，美国还曾发生一起 ElasticSearch 服务器在没有密码的开放状态下泄露了将近 5700 万美国民众个人信息的事件，共泄漏超过 73GB 数据。

2018 年 12 月份，巴西最大的订阅电视服务之一的 Sky Brasil 在没有密码的情况下将ElasticSearch服务器暴露在互联网上，其 3200 万客户数据在网上暴露了很长时间，存储数据包括客户姓名、电子邮件地址、密码、付费电视包数据、客户端IP地址、个人地址、付款方式、设备型号等。

2019 年 12 月，研究人员在不安全的云存储桶中，总共发现了 27 亿个电子邮件地址，10 亿个电子邮件账户密码以及一个装载了近 80 万份出生证明副本的应用程序。

.......

​数据库需要更安全合理的设置

这类数据意外泄露事件时常发生，因此也更值得企业和厂商的关注。

首先，ElasticSearch 和 Kibana 需要有更安全和合理的默认设置，如果企业人员要将数据库公布在网络上，更需要谨慎。如果发现无需任何身份验证即可公开访问，则需要提醒和警告用户。

其次，从用户 ISP 中获取 NetFlow 和 sFlow 数据会泄露个人信息，可以使用 DoH 或 DoT 来保护用户的 DNS 通信在传输过程中的安全，让用户的 ISP 无法被看到、记录、监视甚至有时出售 DNS 查询流量。