上网需谨慎！成人网站泄露7TB数据，内含超53万中国用户

文章来源：企鹅号 - beauty记录

又有网站泄露数据，这次是一家成人网站，不过不是P站，而是国外一家叫CAM 4的成人网站。

导致这次泄露事故的原因据说是因为搜索引擎服务器 Elasticsearch 配置错误，高达7TB的数据泄露，从而使一系列生产数据库不受在线保护，任何使用 Web 浏览器的人都可以访问

此次泄露的数据库中合计包含高达108.8 亿条用户信息，包括用户的真实姓名、电子邮件、IP地址、哈希密码，甚至是各种聊天记录、性取向......

在所有泄漏数据中，大约有 1100 万条记录包含电子邮件，其中一些记录包含与来自多个国家或地区用户相关的电子邮件地址。据 SafetyDetectives 统计，这些用户主要来自美国、巴西、意大利等国家。其中，有超过50万名受害者来自中国。

Elasticsearch 原本是用来提供全文搜索服务的开源组件，不过也有不少公司直接将它当作数据库存储使用，但很多开发人员却忽略了它的安全性。

Elasticsearch 配置不正确导致数据泄露的问题已经不是个例，前有国内某婚庆网站因配置问题导致数据泄露，印度运输机构因为没有设置集群的安全权限超过11000辆公交车的实时实时位置

为了避免类似的事故发生，保障Elasticsearch 集群的网络安全，必须做到如下几点：

1、不要将默认端口暴露在公网，ElasticSearch默认使用的端口是9200，绑定的是localhost，但千万不能将端口暴露在公网上，服务器必须配置防火墙。因为ElasticSearch不需要任何权限就可以对索引增删改查。

2、不要以root身份运行Elasticsearch，单独创建用户运行ES，将用户权限最小化。

3、定期对 Elasticsearch 数据备份，Elasticsearch 本身是提供有备份还原机制，定期对数据备份，以防万一。

4、合理配置Elasticsearch 数据目录，确保Elasticsearch 目录分配合理读写权限，避免敏感信息泄露。

5、使用最新的Elasticsearch版本，Elasticsearch 老版本存在很多漏洞，升级到最新版本7.x免费提供TSL功能，可对通信进行加密，基于角色的访问控制。可用于控制用户对集群 API 和索引的访问权限

扫码

添加站长进交流群

领取专属 10元无门槛券

私享最新 技术干货