未受保护的ES暴露近90％巴拿马公民的个人身份信息

安全研究员Bob Diachenko发现了一个未受保护的Elasticsearch服务器，该服务器暴露了近90％的巴拿马公民的个人身份信息。

暴露的数据包括全名，出生日期，国民身份证号码，医疗保险号码和其他个人数据。

该数据库包含340万条与巴拿马公民相关的记录，标记为“patient（患者）”，468,086条记录标记为“test-patient（测试患者）”。

“5月10日，我发现大量数据存放在未经保护和公开发布的Elasticsearch集群中（因此可在任何浏览器中看到）。”Diachenko在博客中写道。

“该数据库包含3,427,396条记录，其中包含有关巴拿马公民的详细信息（标记为”patient“），另外还有468,086条记录，其记录标记为“test-patient”（虽然，这些数据似乎也是有效的，而不是纯粹的测试数据）。“

该专家向巴拿马CERT报告了他的发现，并在48小时内确保了数据库的安全。

目前，尚不清楚是谁在这台运行安全性很差的服务器，无论如何，暴露的信息似乎是真实的。

查询Shodan搜索引擎服务，研究人员发现自2019年4月24日开始，与该未受保护的服务器关联的IP地址已被编入索引。当然，无法确定是否有其他人访问过这些数据。

“暴露Elasticsearch或类似NoSql数据库的风险是巨大的。“Diachenko总结道。“我之前曾报道过，由于缺乏身份验证，所以可以在MongoDB服务器上被安装恶意软件或勒索软件。public配置允许网络犯罪分子使用完全管理权限管理整个系统。”“一旦恶意软件就位，犯罪分子就可以远程访问服务器资源，甚至启动代码执行，来窃取或完全销毁服务器中保存的任何数据。”

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://securityaffairs.co/wordpress/85462/data-breach/panama-citizens-massive-data-leak.html