ElasticSearch伺服器配置錯誤，暴露579GB使用者網站記錄

hackread 資訊網站訊息，兩臺配置錯誤的 ElasticSearch 伺服器共暴露了約 3.59（35 9019902）億條記錄，這些記錄在 SnowPlow Analytics 開發的資料分析軟體幫助下收集而來。 Website Planet 的 IT 安全研究人員發現了兩臺暴露的 ElasticSearch 伺服器，經過研究，確定伺服器使用的是軟體供應商SnowPlow Analytics開發的開源資料分析軟體，尚不清楚屬於那個組織。

資料分析軟體允許公司在其網站訪問者不知情的情況下跟蹤和儲存資訊。值得注意的是，網路分析工具可以收集多種資料指標，然後使用這些資料為網站訪問者建立一個廣泛、詳細的個人資料庫。

配置錯誤的 ElasticSearch 伺服器案例

據研究人員稱，這兩個 ElasticSearch 伺服器沒有任何加密或使用者驗證措施，意味著任何人都可以在不需要密碼的情況下訪問這些資料。

這兩個不安全的、配置錯誤的伺服器最終暴露了大約 579.4GB 的使用者記錄資料（359019902條）。暴露的伺服器包含網路使用者流量的詳細日誌，主要包括以下內容。

推薦人頁面

時間戳IP

地理定位資料

訪問的網頁

網站訪問者的使用者代理資料

被曝光資料的細節

從 Website Planet 發表的文章來看，兩臺伺服器暴露的使用者資料都集中在 2021 年兩個月份裡。

第一個伺服器主要包含了 2021 年 9 月的資料，共 24728328 條記錄，約 389.7GB（2021 年 9 月 2 日和 10 月 1 日之間收集的資料）。

第二臺伺服器主要包含了 2021 年 12 月的資料，共 116291574 條記錄，約 189.7GB（2021 年 12 月 1 日和 2021 年 12 月 27 日之間收集的資料）。

1500 萬 使用者 可能受 到 影響

經過進一步分析，研究小組指出，大約 4 到 100 條使用者記錄出現在兩臺伺服器上，並且鑑於每個使用者有多個日誌，這種暴露可能會影響至少 1500 萬人。

值得注意的是，攻擊者能夠利用暴露的使用者配置檔案伺服器日誌定位人員，並通過使用者的 IP 地址過濾使用者。這意味著所披露的資訊允許攻擊者獲得有關使用者的數字軌跡資訊，例如網頁瀏覽偏好和其他活動。

另外，研究人員表示，這些伺服器在被發現時依舊處於活動狀態，並一直在積極更新資訊。錯誤配置伺服器背後的運營公司應該對資料暴露事件負責，ElasticSearch 和 SnowPlow Analytics 均不應該對此次曝光負責。

此次資料暴露影響深遠，Website Planet 已經向有關當局發出警報，兩臺被暴露的伺服器也都得到了保護，但是尚不清楚是否有惡意意圖的第三方訪問了這些伺服器 。]

參考文章：

https://www.hackread.com/misconfigured-elasticsearch-servers-user-website-activity/