1500万用户上网流量数据泄露于配置错误的ElasticSearch

1500万用户上网流量数据泄露于配置错误的ElasticSearch

公司名称及所在地:未知
大小(以 GB 为单位和记录数量):大约 3.59 亿条记录,579.4 GB 数据
数据存储格式:ElasticSearch
受影响的国家:全世界

Website Planet研究团队使用开源数据分析软件发现了影响组织的关键数据暴露,该软件允许实体收集和分析有关其网站访问者的信息。

使用该软件的未知组织拥有的两台 ElasticSearch 服务器处于不安全状态,暴露了与网站访问者相关的数据。

网络分析工具收集大量数据,为每个网站访问者建立详细的个人资料。尽管网站经常在用户不知情的情况下收集这些信息,但服务器表明这些详细的用户配置文件可能会被公开。因此,用户在使用互联网时必须采取足够的措施来保护他们的隐私。

客户数据暴露

ElasticSearch 服务器配置错误;没有任何用户身份验证控制或加密。因此,不安全的 ElasticSearch 服务器暴露了 359,019,902条记录,相当于579.4 GB 的数据。

这两个未知组织的 ElasticSearch 服务器都包含网站用户流量的详细日志——属于使用开源技术收集数据的各种网站用户的信息。

在服务器上发现的网站用户流量包括

  • 地理位置数据
  • 访问的网页
  • 推荐人页面
  • 时间戳IP
  • 网站访问者的用户代理数据

服务器包含 2021 年两个月收集的用户信息。第一台服务器包含2021 年 9 月的数据,第二台服务器包含 2021 年12 月的数据

2021年9 月的服务器包含242,728,328 条记录,总计389.7 GB 数据,这些数据是在 2021 年 9 月 2 日至 2021 年 10 月 1 日之间收集的。

2021年12 月的服务器包含 116,291,574条记录,总计189.7 GB 数据,收集时间为 2021 年 12 月 1 日至 2021 年 12 月 27 日。

可以通过每个服务器的用户配置文件日志来定位人员。可以根据他们的 IP 地址过滤用户,并且从这里,服务器披露有关每个用户的被动数字足迹的大量详细信息——这些信息是在互联网用户不知情的情况下收集的,例如网络浏览活动。

暴露的用户在两台服务器上平均出现在 4 到 100 条记录中。考虑到每个用户都存在多个日志,我们估计大约有1500 万人受到配置错误的 ElasticSearch 服务器的影响。

有两个因素可能会影响我们的估计数字。首先,每个服务器的一些用户配置文件属于爬取每个网站的机器人,包括 Googlebot 和 Pinterest Bot。不过,机器人的存在可能会降低我们的估计,但幅度很小。其次,暴露的用户是通过他们的 IP 地址来区分的,因此任何使用 VPN 或 Tor 的网站访问者都可能包含在我们的“受影响人数”估计中,但不会暴露。在实践中,这两个因素可能会在一定程度上达到平衡。

服务器是活动的,并且在发现时正在更新。ElasticSearch 并没有因为这种数据暴露而有过错,提供用于收集数据的开源 Web 分析技术的公司也没有过错。

您可以在下面的屏幕截图中看到暴露网站用户流量的服务器日志的证据。

1500万用户上网流量数据泄露于配置错误的ElasticSearch
属于网站访问者的公开数据

谁受到影响?

估计有 1500 万用户暴露在两个开放的 ElasticSearch 服务器上。这些人访问了由软件公司 SnowPlow Analytics 提供的网络分析技术进行分析的各种网站。

更重要的是,这种数据暴露具有全球影响。来自世界各地的用户将数据存储在不安全的服务器上。

暴露的数据是如何收集的?

未知组织的数据集是使用 Snowplow Analytics 的软件收集的。

Snowplow Analytics Ltd. 成立于 2012 年,提供一套网络分析产品,网站和公司可以根据自己的需求进行定制。

Snowplow 开源软件收集有关访问者在网站和应用程序上的流量的信息,并为用户提供控制和自定义其数据收集的功能。组织可以使用 Snowplow 来帮助分析访问者的被动数字足迹并深入了解这些访问者。

Snowplow Analytics 总部位于英国伦敦,年营业收入约为 1000 万美元。Snowplow 的软件深受大公司的欢迎,包括 Strava、华尔街日报、AutoTrader、Capital One 和 ABC。

需要注意的是,我们并没有指责 Snowplow Analytics 暴露了这种数据。虽然未知组织使用了 Snowplow 的技术,但由于未知组织的服务器配置错误,数据似乎暴露了。

我们知道 ElasticSearch 服务器属于 Snowplow 用户,因为 Snowplow 的网站 URL 在服务器记录中显示为源。在进一步的通信中,Snowplow 告诉我们,服务器的所有者正在使用 Snowplow 软件的开源安装。

1500万用户上网流量数据泄露于配置错误的ElasticSearch
Snowplow 的 URL 显示在服务器记录中

对最终用户的影响

我们不知道也无法知道恶意方是否访问了 ElasticSearch 服务器。如果不良行为者已经阅读或下载了服务器的记录,暴露的用户可能会面临网络犯罪的威胁。

侵犯隐私

该组织的 ElasticSearch 服务器侵犯了用户的隐私,但鉴于暴露的各种细节,这一事实可能并不明显。IP 地址信息与地理位置数据、ISP、设备类型、操作系统详细信息、浏览器详细信息、时间戳和网站访问历史结合使用,可用于定位和识别特定个人。使用这些信息识别用户并不容易。尽管如此,如果黑客能够在其中一个 ElasticSearch 服务器上识别出每个用户,则每个用户都可能遭受各种网络犯罪。

冒充

恶意行为者可以在冒充另一台设备并暴露用户代理数据的同时进行在线非法活动。黑客冒充用户代理,使其成为 Web 应用程序的合法来源。这意味着黑客可以避免在对网站或用户帐户进行攻击时被阻止。

对服务器所有者的影响

拥有 ElasticSearch 服务器的组织也可能受到此数据泄漏的影响。该组织可能会受到多个数据保护机构的调查,来自世界各地的用户暴露在其服务器上。

数据隐私违规

当 ElasticSearch 服务器暴露网站用户的流量时,可能违反了美国、欧盟和英国的主要数据保护法规。这是因为来自世界各地的用户可以通过他们泄露的数据来识别。

数据公开状态

Website Planet 研究团队于 2022 年 1 月 18 日发现了配置错误的 ElasticSearch 服务器。由于日志中引用了 Snowplow 的网站 URL 以及与 Snowplow 的进一步通信,因此很容易辨别服务器的来源。但是,我们没有 ElasticSearch 服务器所有者的名称。

Website Planet 研究团队在发现开放的 ElasticSearch 服务器后向 Snowplow 发送了一封电子邮件。2022 年 1 月 20 日,我们向 Snowplow Analytics 发送了另一条消息。该公司的工程负责人回复并告诉我们,这些服务器属于一个使用开源安装 Snowplow 软件的组织。Snowplow 表示将与该组织联系以关闭违规行为。2022 年 1 月 26 日,我们跟进了 Snowplow 关于开放服务器的问题,并在 2022 年 1 月 27 日至 1 月 31 日之间,对配置错误的 Elasticsearch 服务器进行了保护。

保护您的数据

开放的 ElasticSearches 表明在线用户可以公开通过现场跟踪收集的个人数据,我们中的许多人甚至在浏览互联网时都没有考虑到这一点。

用户可以采取一些措施来限制现场跟踪并防止将来发生此类数据泄露。

虚拟专用网络 (VPN) 隐藏用户的在线活动和 IP 地址,使用户匿名接受现场跟踪和 cookie。VPN 应该是想要保护其在线活动的互联网用户的首选。人们还可以使用 Tor 浏览器匿名访问互联网并维护其数据的隐私。

互联网用户在进入之前应仔细考虑他们是否愿意接受来自网站的“cookies”。Cookie 用于跟踪我们的在线活动。Cookie 可以改善我们对网站、品牌或服务的体验,尽管我们最终会交出更多数据以换取这种改善的客户体验。

最后,大多数网络浏览器允许用户在其浏览器设置中禁用 cookie 和广告跟踪。如果用户想完全避免跟踪,他们可以使用此选项。

我们如何以及为何报告数据泄露

我们希望帮助我们的读者在使用任何网站或在线产品时保持安全。

不幸的是,负责的公司从未发现或报告大多数数据泄露事件。因此,我们决定开展这项工作,找出使人们处于危险之中的漏洞。

我们遵循道德黑客的原则并遵守法律。我们只调查随机发现的开放、未受保护的数据库,我们从不针对特定公司。

通过报告这些泄漏,我们希望让每个人的互联网更安全。

from

Leave a Reply

您的电子邮箱地址不会被公开。