酒店供应商AavGo云泄露八百万用户信息

研究员披露了一个配置错误的Elasticsearch数据库，其中包括酒店客人信息，包括预订和个人身份信息、酒店内部备忘录、管理登录细节、发票和工作单。

日前，又一个配置错误的云实例公开了数据，最新的数据来自AavGo，一家为酒店业提供云计算软件的供应商。

据悉此案例涉及安全研究员Daniel Brown今天披露的一个配置错误的Elasticsearch数据库。

该数据库现在已经离线，其中包括酒店客人信息，包括预订和个人身份信息、酒店内部备忘录、管理登录细节、发票和工作单。在公开的数据库中发现了大约800万条记录，不过AavGo客户端的名字没有披露。

据AavGo网站透露，该公司的客户包括皇冠假日酒店(Crowne Plaza)和戴斯酒店(Days Inn)。

而发生这种情况的原因是有一个Elasticsearch数据引擎安装在这个服务器上，需要身份验证机制激活，其实从服务器本身来看就是从互联网访问,使Elasticsearch数据开放给任何人看,这个服务器已经从生产系统日志有很多敏感信息,”布朗写道。

网络安全公司首席技术长兼联合创始人德拉姆斯(Chris DeRamus)对SiliconANGLE说，在使用Aavgo等云服务时，开发人员和工程师往往会行动过快，绕过关键的安全和合规政策。

“让服务器不受保护似乎是一个可以避免的简单错误，但越来越多的公司由于配置不当而遭受数据泄露，我们几乎每天都能在新闻中看到相关报道，”DeRamus说。“事实上，组织缺乏正确的工具来识别和纠正不安全的软件配置和部署。自动化云安全解决方案使企业能够检测到错误配置，并提醒适当的人员纠正问题，甚至可以实时触发自动化修复。”

值得一提的是AavGo并不是第一家通过配置错误的Elasticsearch数据库公开数据的公司。今年1月，数据分析公司阿森松的Elasticsearch数据库被发现泄露了约2400万份金融和银行文件，11月，据信属于data & Leads Inc.的5700万份记录被发现在网上以同样的方式泄露。

来源：安全内参

本文版权归原作者所有，如有侵权请联系我们及时删除