汉堡王的儿童网上商店泄露数万条顾客信息

通过Shodan搜索发现的一个未受保护的Elasticsearch集群暴露了37,900条汉堡王商店客户的记录，这是一家专门为购买汉堡王的孩子们量身定制的法国网上商店。

正如安全研究员Bob Diachenko在进一步调查后发现的那样，数据被泄露是因为存储它的数据库配置错误，允许任何人访问存储在其中的记录。

由于数据库没有以任何方式进行保护且可公开访问，因此任何人都可以编辑，下载甚至销毁数据，而无需管理员凭据。

泄露的数据库

根据Shodan的历史数据，研究人员还发现了这些数据库中包含的纯文本数据，至少从4月24日起就被公开了。

这37,900条汉堡王商店会员记录包含个人身份信息（PII），例如“电子邮件，密码（访问门户网站），姓名，电话，DOB，优惠券代码，外部存储证书的链接等”。

除了发现数万份被泄露的会员记录外，Diachenko还发现了汉堡王部分员工的25名管理人员的CRM访问细节，包括电子邮件、姓名和加密密码。

此外，数据泄漏还包括一些额外的信息，“电子商务CRM后端日志形式的数据，包括内部细节和调试信息”。

汉堡王声明

“幸运的是，我没有看到数据库中有勒索记录，但这并不一定意味着其他人没有访问过它，”Diachenko在被BleepingComputer问及是否有迹象表明数据库曾被篡改时表示。

具有讽刺意味的是，在研究人员将泄露报告发送到泄露数据库管理员的电子邮件（因为它们也包含在泄露的数据中）之后，汉堡王立即关闭了对数据库的访问，并发送了以下声明:

我们要感谢您负责任地披露了我们基础设施中某些客户数据可能存在的安全漏洞。

数据保护对汉堡王至关重要，我们非常重视这些问题。在事件发生后，我们立即在公司内部和我们的服务供应商处采取一切法律上必要的行动，以确保问题的有效解决以及客户数据的安全。我们也正在与在这方面具有管辖权的有关国家当局联系。

我们希望通知您，该问题已经过调查，现在已经纠正了这种类似的漏洞。

未受保护的ElasticSearch数据库正在成为常态

自2019年初以来，可公开访问的ElasticSearch数据库 在各种在线赌场中泄露超过1.08亿的投注，暴露了投注者的PII数据，数十万份“未指定发布”的敏感法律文件，以及约3300万中国人简历。

此外， 2018年11月，超过1.14亿份美国公民和公司的记录以及超过3200万份SKY Brasil客户的记录也受到ElasticSearch数据库导致的数据泄露的影响。

正如ElasticSearch的开发人员在2013年12月详述的那样，Elastisearch服务器永远不要暴露在互联网上，它们应该只能在内部网络上访问。

Elastic还建议管理员为服务器的内置用户设置密码， 通过实施“加密通信，基于角色的访问控制，IP过滤和审计”的措施来保护ElasticSearch堆栈，以及在部署之前正确配置ElasticSearch安装。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://www.bleepingcomputer.com/news/security/burger-kings-online-store-for-kids-exposes-customers-info/