據外媒報道，泰國移動運營商Advanced Info Service(AIS)子公司Advanced Wireless Network(AWN)控制的Elasticsearch數據庫可被公開訪問，數據庫中包含了約83億記錄，數據體量約為4.7 TB，每24小時增加2億記錄。

根據BinaryEdge的數據顯示，Elasticsearch數據庫于2020年5月1日首次被公開訪問，5月7日，安全研究員Justin Paine發現該數據庫可公開訪問。Justin Paine表示：“這不是未經身份驗證就暴露給Internet的單個服務器。我找到的主數據庫分布在三個Elasticsearch節點組成的集群，另外，我還找到了第四個包含相似數據的Elasticsearch數據庫。”

據了解，該數據庫的數據量處于一直不斷增長的情況，每24小時會添加大約2億行新數據。截至2020年5月21日，數據庫中共存儲了8336189132條記錄，數據是NetFlow數據和DNS查詢日志的組合。

奇怪的是，DNS查詢僅記錄了8天(2020年4月30日到2020年5月7日)，共捕獲了3376062859個DNS查詢日志，每秒記錄2538個DNS事件，但不知出于何種原因，8天之后攻擊者突然停止了記錄DNS查詢。

1. 泄露的數據有何影響?

據了解，在整個數據庫暴露期間，NetFlow數據一直在被捕獲，泄露的數據中有50億行數據是NetFlow數據，以每秒3200個事件的速率被記錄。

注：NetFlow是思科公司開發的一種網絡協議，用于收集IP流量信息和監控網絡流量。通過對流量數據的分析，可以建立網絡流量和流量的圖像。

NetFlow數據泄露有何影響呢?NetFlow信息記錄了哪個源IP將不同類型的流量發送到一個特定的目標IP，以及傳輸了多少數據。以下圖為例，這是對目標IP地址的HTTPS(TCP端口443)請求，我們對目標IP進行反向DNS查找，就可以快速識別此人將使用HTTPS的網站。

簡單來說，通過這些泄露的NetFlow數據，我們可以判斷出該IP所有者及家人的相關信息，包括擁有多少設備、設備的型號、使用過哪些軟件、訪問了哪些社交網站等等。

2. 如何避免這種情況呢?

相信很多人也發現了，這次發生泄露的數據庫又是Elasticsearch。由于不少開發人員及其團隊在認知上更多地把Elasticsearch看成是與MySQL同等的存儲系統，所以在部署以后并沒有太多地關心其訪問控制策略和數據安全，而且Elastisearch開箱即用的特點也讓開發和運維人員放松了對安全的重視，所以Elasticsearch數據泄露的比例很高。

如何避免呢?其實這也是個老生常談的問題了，我們曾多次建議大家采取以下措施：

• 服務器必須要有防火墻，不能隨意對外開放端口;
• Elasticsearch集群的端口包括TCP和HTTP，都不能暴露在公網;
• Elasticsearch集群禁用批量刪除索引功能;
• Elasticsearch中保存的數據要做基本的脫敏處理;
• 加強監控和告警，能夠在安全事件發生的第一時間感知并啟動緊急預案，將損失降到最低。

另外，由于這次泄露的數據主要是NetFlow數據，所以也需要針對此做出措施。ISP收集NetFlow數據是無法避免的，它們會跟蹤連接的來源和流量的目的地，但是DNS查詢日志問題是可以解決的，建議使用DoH和DoT來保護DNS通信。據了解，目前Mozilla Firefox、谷歌Chrome、Internet Explorer Edge、Android都支持DoH和DoT，微軟的Windows 10也將很快支持。

隱私保護任重道遠

如今我們早已離不開互聯網，互聯網上記錄了大量我們的隱私。這就給互聯網服務提供者提出了巨大的挑戰，一方面他們想要獲取盡可能多的用戶信息，建立豐富完備的數據庫，一方面，當大量數據被保存下來之后，如何保護就成了一道難以逾越的坎。

盡管我們相信大部分互聯網公司都堅持向善的價值觀，但層出不窮的數據泄漏還是時刻敲打著我們的信任。而且，確實還是存在許多惡意利用個人數據的服務商，在他們的不懈破壞之下，我們的隱私越發岌岌可危。

所以，隱私保護依舊任重而道遠。對我們來說，在寄希望于互聯網服務商規范自身行為的同時，也需要多了解一些隱私保護的常識，避免自己在不可控的情況下，將隱私暴露在互聯網的蠻荒之地。

降低信息泄露的風險的方法：

• 不要隨意連接公共場合WiFi及來歷不明沒有密碼設置的WIFI。
• 手機、電腦等都需要安裝安全軟件，每天至少進行一次對木馬程序的掃描，尤其在使用重要賬號密碼前。每周定期進行一次病毒查殺，并及時更新安全軟件。
• 來路不明的軟件不要隨便安裝，在使用智能手機時，不要修改手機中的系統文件。
• 盡量不要使用“記住密碼”模式，上網后注意個人使用記錄。
• 在上網評論朋友微博、日志、圖片時，不要隨意留下朋友的個人信息，更不要故意公布他人的個人信息。

只有在日常生活中注意這些隱私小細節，才能最大可能地減少隱私泄露，保護好個人信息安全。同樣，企業也應做相應的措施來保護用戶的信息安全，保障他們的信息不會被不法分子竊取和盜用，這對贏得客戶的信任尤為重要。而且根據相關行業法規，企業如果未能保護用戶敏感數據，將面臨高額罰款。

SSL保障我們的信息數據安全

我們現在使用的HTTP明文協議是一種極不安全的明文協議，無任何加密性可言，信息泄露、網頁篡改、流量劫持頻頻發生，已經滿足不了現在高速發展和普及的互聯網的安全要求。開啟了HTTPS，即在HTTP下加入SSL層，SSL是為網絡通信提供安全及數據完整性的一種安全協議，在傳輸層對網絡連接進行加密，目前被廣泛地用于Web瀏覽器與服務器之間的身份認證和加密數據傳輸。

部署SSL證書，網站實現https加密，可以驗證網站的真實性，樹立可信賴的企業形象，辨別釣魚網站;證明您的網站是更值得信賴的合法網站。而且能有助于進行網站優化，提高搜索排名順序，為SEO的目標和網站增強了安全系數。部署SSL證書最重要的就是保障數據安全，讓用戶無后顧之憂。