圖片來源: 

阿里巴巴

今年7月初,一名自稱為ChinaDan的駭客在暗網中兜售內含10億中國人民資訊的22TB資料庫,ChinaDan宣稱該資料庫存放於阿里雲,隸屬於上海國家警察,迄今不管是阿里雲或上海國家警察都未回應媒體的詢問,不過,《華爾街日報》(The Wall Street Journal)於本周報導,阿里巴巴的高階主管已遭到中國政府約談,包括新上任的、負責數位公共安全業務的阿里雲副總裁Chen Xuesong。

ChinaDan以10個比特幣(現約20萬美元)兜售了含有10億中國人民資訊的資料庫,包括他們的姓名、地址、生日、身分證號碼、聯絡電話及犯罪紀錄等,並公布了75萬筆紀錄供外界查證,除了已有多筆查證屬實之外,中國政府的約談行為亦間接證實了該資料庫的真實性。

根據報導,阿里巴巴內部在媒體披露之前就得知此一外洩事件,並在7月1日召開緊急內部會議,亦暫時關閉該資料庫並檢查相關程式碼。隨後,中國監管機構隨即開始約談阿里巴巴的高階主管。

資安業者LeakIX也分析了這起可能是全球最大外洩事件的案例,指出外洩資料的服務為一未受保護的Kibana實例,Kibana用來管理及檢視Elasticsearch叢集,允許代理連結至底層的Elasticsearch叢集。

分析顯示,當一個Elasticsearch服務部署於公開網路時,即會採用預設的Kibana端點,同時Elasticsearch叢集也會被分配預設的使用者名稱與密碼,然而,該資料庫採用了老舊的Elasticsearch叢集版本,並未內建認證機制,必須要付費購買第三方的認證外掛程式才能啟用認證功能,但相關資料庫並未含有任何認證工具。

此外,LeakIX也發現該叢集的第一個外部活動出現在6月26日,透露出駭客很可能在6月底就盜走了資料庫;而且還有許多部署在阿里雲的Elasticsearch叢集採用過時的版本,一旦它們維持Kibana的預設配置,便處於同樣的外洩風險之中。

熱門新聞

Advertisement