超 15,000 臺 Elasticsearch 服務器被入侵，黑客欲讓網絡安全公司背鍋

自 3 月 24 日以來，黑客入侵了 Elasticsearch 服務器，並試圖擦除其內容。同時還留下了網絡安全公司 Night Lion Securty 的名稱，試圖轉移責任。

英國安全專家約翰·威辛頓（John Wethington）和 ZDNet 正在一塊兒展開此案。

擦除數據，創建新索引

據英國安全研究人員約翰·威辛頓稱，這次攻擊彷佛是在自動腳本的幫助下進行的，該腳本掃描 網絡上不受保護的 ElasticSearch 系統，鏈接到其數據庫，並嘗試擦除其內容，而後建立一個新的空索引，稱爲 nightlionsecurity.com。

但攻擊腳本彷佛並不是在全部狀況下都有效，有些數據庫中並未出現名爲 nightlionsecurity.com 的索引。

可是，在許多 Elasticsearch 服務器上，擦除行爲是顯而易見的，由於日誌條目只是在最近的日期附近中斷。因爲 Elasticsearch 服務器內部存儲的數據具備高度易變性，所以很難量化刪除數據的確切系統數量。

根據 BinaryEdge 搜索，大約有 150 臺已損毀的 Elasticsearch 服務器，存在nightlionsecurity.com 索引的 Elasticsearch 服務器數量已增長到 15,000 多個。

考慮到 BinaryEdge 列出了直接在公共互聯網上公開的總共 34,500 臺 Elasticsearch 服務器，這個數據應該還不是這次黑客入侵事件的最終結果。

Elastic 安全團隊目前正在對受攻擊的服務器進行相關的處理研究。

網絡安全公司：這鍋我不背

Night Lion Security 的創始人 Vinny Troia 在與記者採訪對話中，否定其公司與這次持續的攻擊有任何關係。

Troia 表示，他相信攻擊是由過去幾年其公司一直跟蹤的黑客進行的，對此他已將襲擊事件和相關信息通知了執法部門。

頻遭黑手的 Elastic

Elastic是一家荷蘭－以色列公司，憑藉其 Elasticsearch 技術，專門研究各類類型的數據。該技術已被組織普遍用做文檔中的內部搜索引擎，並且還用於跟蹤日誌文件中的違規行爲。

Elasticsearch 服務器被抹除數據已經不是一次兩次了。在 2017 年的春季和夏季，多個黑客組織就曾對包括 Elasticsearch 在內的多種數據庫技術進行了數據庫勒索攻擊。

2017 年的黑客攻擊事件中，數千個 Elasticsearch 服務器的數據被擦除，並留下了贖金消息，邀請全部者支付贖金請求以恢復其數據（受害者不知道攻擊者從未竊取或備份過數據，而只是刪除了數據）。

在 2019 年 7 月，智能家居解決方案開發商 Orvibo 持用的一個大型 ElasticSearch 數據可，其中超過 20 億條日誌在網絡中被公開。其中包含電子郵件地址、密碼、密碼重置信息、地理位置數據、IP 地址、用戶名&標識符、經過智能相機進行的對話記錄等；

2019 年 12 月，漢特 - 曼西自治區國家服務門戶網站的 28,000 名客戶信息被泄漏。該數據可因爲 Elasticesearch 服務器的配置錯誤而變成了公共域中的數據庫，泄漏的信息包含客戶的姓名、電話、電子郵件和其餘我的信息，好比可生育兒童的信息。除此以外，這些用戶在門戶網站中的受權令牌也被泄漏，這可讓截取到信息的第三方訪問其在網站的我的賬戶。