一名代號為0m3n的DevOps工程師,在這幾天揭露了一家以色列行銷公司Straffic的資料庫外洩意外,該資料庫存放了140GB的通訊錄,內含4,900萬名使用者的姓名、電話號碼及地址,有趣的是,該資料庫雖有設定密碼保護,但Straffic卻在一個連結到該資料庫的隨機網域上,留下了明文的資料庫憑證。

0m3n向ISMG透露,他是因為過去兩年一直受到垃圾簡訊的騷擾,而且這些簡訊都連結到一些奇怪的網域,使得他決定一探究竟,並在其中一個網域上找到了一個.env檔案,這是一個指向AWS Elasticsearch實例的配置檔,且這個配置檔上以明文存放了該Elasticsearch實例的存取憑證。

因此,就算此一Elasticsearch實例設有密碼保護,但Straffic卻把密碼以明文置放在隨機網域上的檔案,而出現了安全漏洞。

Straffic則在消息曝光後發表了簡短的聲明,指出他們所使用的其中一個網站含有安全漏洞,在證實漏洞的存在之後隨即修補了它,也強化了現有的安全機制。

不過,Straffic既未說明產生安全漏洞的原因,也未公布資料外洩的細節與數量,還在聲明中表示「要打造一個完全免疫的系統是不可能的,這些事就是會發生。」而使得Have I Been Pwned的創辦人Troy Hunt批評,這真是他所見過的最糟糕的揭露通知之一。


Advertisement

更多 iThome相關內容