巴西SKY Brasil泄漏3200万客户信息

国外安全研究人员发现SKY Brasil3200万客户信息，在网络上暴露了很长时间，很可能被盗。

个人信息任人挑选

通过Shodan搜索引擎可以搜索到巴西正在运行的Elasticsearch服务器，这些服务器并不需要任何身份就可以获取信息。

其中包含一组digital-logs-prd的Elasticsearch集群名称，引起了安全研究人员的注意，通过简单的命令列出可以用的索引，其中一个为429.1GB。

该索引包含SKY Brasil客户的个人信息，其中包括姓名，电子邮件，服务登陆密码，客户P地址，付款方式，电话号码，街道地址。

根据 3月份的统计数据，SKY Brasil是一家提供电视服务的电信公司，是该国第二大付费电视服务提供商。

Castro向他公司报告了他的调查结果，他通过使用密码限制访问来修复问题，这项操作只需几分钟。

由于服务器已经在网络上面暴露时间很久，黑客可能已经将这些数据拿到手了。

坏习惯很难改

该安全研究人员说，他是SKY Brasil的客户，并且他的信息也暴露了，该泄漏的数据中还包含高级政治家的家庭住址和电话号码。

这些细节对犯罪分子来说是一个福音。 他们可以用它来精心制作并且难以发现社会工程攻击富裕的个人。

尽管保护敏感信息不受公共访问影响是常识安全，但即使是处理数亿条记录和个人数据的大公司，配置错误的Elasticsearch服务器也是常见的。

网络犯罪分子长期以来一直在利用在线公开的数据服务器。 BleepingComputer过去曾报道过黑客劫持了不安全的MongoDB，ElasticSearch，Hadoop，CouchDB，Cassandra和MySQL，并进行勒索。

原文链接：https://www.bleepingcomputer.com/news/security/sky-brasil-exposes-32-million-customer-records/