近日,产品比较网站 Comparitech 研究员 Bob Diachenko 发现了一个包含 1.06 亿泰国国际游客个人信息的数据库在网上曝光,这些数据无需密码即可访问,涉及游客的全名、护照号码、抵达日期等私密信息,这些数据涉及 1.06 亿条记录外,泄露的信息总量约为 200 GB。最早的数据记录可以追溯到 2011 年,意味着在过去十年中前往泰国的任何外国人都可能在事件中暴露了他们的信息。他甚至确认数据库包含他自己的名字和泰国的条目。
负责 Comparitech 网络安全研究的 Bob Diachenko 于 2021 年 8 月 22 日发现了该数据库,并立即通知了泰国当局,后者承认了这一事件并在第二天保护了数据。
事件发展经过:
- 2021 年 8 月 20 日 - 该数据库已被搜索引擎 Censys 编入索引;
- 2021 年 8 月 22 日 – Diachenko 发现了未受保护的数据,并且立即采取措施对数据进行验证,通知数据所有者;
- 2021 年 8 月 23 日——泰国当局迅速承认了这一事件并迅速保护了数据。
- 然而值得注意的是,在 Diachenko 发出警报一天后隐藏的暴露数据库的 IP 地址仍然公开存在的,尽管连接到该数据的数据库已被蜜罐取代。任何尝试访问该地址的人现在都会收到消息,“这是蜜罐,所有访问都已记录。”
虽然 Comparitech 官网没有报道具体泄露原因,但新闻网站The Register推测,该起数据泄露的原因很可能是 Elasticsearch 配置错误所导致。
这条新闻也在HackerNews上引起了热议,有人表示,护照等信息早已被复制给了N多个机构,以至于他都不把国籍、护照当做私密信息了;也有网友好奇护照泄露能做什么?会带来哪些危险?
而昵称叫yabones的网友表示:是的,就是Elasticsearch,据说由Elastic开源项目付费身份验证和TLS造车的损失是无法弥补的,如果你把安全性选项卡设为可选项,意味着你创建了一个不安全的产品。
参考链接:
下一节:近日,法国高等科学研究所(Institut des Hautes Études Scientifiques,简称 IHES)于官网上宣布法国数学家、菲尔兹奖得主 Laurent Lafforgue 正式加入华为技术法国公司。