据悉此案例涉及安全研究员Daniel Brown今天披露的一个配置错误的Elasticsearch数据库。

 

该数据库现在已经离线，其中包括酒店客人信息，包括预订和个人身份信息、酒店内部备忘录、管理登录细节、发票和工作单。在公开的数据库中发现了大约800万条记录，不过AavGo客户端的名字没有披露。

 

据AavGo网站透露，该公司的客户包括皇冠假日酒店(Crowne Plaza)和戴斯酒店(Days Inn)。

 

而发生这种情况的原因是有一个Elasticsearch数据引擎安装在这个服务器上，需要身份验证机制激活，其实从服务器本身来看就是从互联网访问,使Elasticsearch数据开放给任何人看,这个服务器已经从生产系统日志有很多敏感信息,”布朗写道。

 

网络安全公司首席技术长兼联合创始人德拉姆斯(Chris DeRamus)对SiliconANGLE说，在使用Aavgo等云服务时，开发人员和工程师往往会行动过快，绕过关键的安全和合规政策。

 

“让服务器不受保护似乎是一个可以避免的简单错误，但越来越多的公司由于配置不当而遭受数据泄露，我们几乎每天都能在新闻中看到相关报道，”DeRamus说。“事实上，组织缺乏正确的工具来识别和纠正不安全的软件配置和部署。自动化云安全解决方案使企业能够检测到错误配置，并提醒适当的人员纠正问题，甚至可以实时触发自动化修复。”

 

值得一提的是AavGo并不是第一家通过配置错误的Elasticsearch数据库公开数据的公司。今年1月，数据分析公司阿森松的Elasticsearch数据库被发现泄露了约2400万份金融和银行文件，11月，据信属于data & Leads Inc.的5700万份记录被发现在网上以同样的方式泄露。

关键词：云计算，AavGo，网络安全
又一个配置错误的云实例，导致八百万用户信息泄露为中国U网原创文章，在不经过允许的情况下，禁止用于商业用途或随意转载，转载请注明出处，并加上本页链接地址：
http://www.cuwww.com/news/detail-587.html