酒店供应商AavGo云泄露八百万用户信息
研究员披露了一个配置错误的Elasticsearch数据库,其中包括酒店客人信息,包括预订和个人身份信息、酒店内部备忘录、管理登录细节、发票和工作单。
日前,又一个配置错误的云实例公开了数据,最新的数据来自AavGo,一家为酒店业提供云计算软件的供应商。
据悉此案例涉及安全研究员Daniel Brown今天披露的一个配置错误的Elasticsearch数据库。
该数据库现在已经离线,其中包括酒店客人信息,包括预订和个人身份信息、酒店内部备忘录、管理登录细节、发票和工作单。在公开的数据库中发现了大约800万条记录,不过AavGo客户端的名字没有披露。
据AavGo网站透露,该公司的客户包括皇冠假日酒店(Crowne Plaza)和戴斯酒店(Days Inn)。
而发生这种情况的原因是有一个Elasticsearch数据引擎安装在这个服务器上,需要身份验证机制激活,其实从服务器本身来看就是从互联网访问,使Elasticsearch数据开放给任何人看,这个服务器已经从生产系统日志有很多敏感信息,”布朗写道。
网络安全公司首席技术长兼联合创始人德拉姆斯(Chris DeRamus)对SiliconANGLE说,在使用Aavgo等云服务时,开发人员和工程师往往会行动过快,绕过关键的安全和合规政策。
“让服务器不受保护似乎是一个可以避免的简单错误,但越来越多的公司由于配置不当而遭受数据泄露,我们几乎每天都能在新闻中看到相关报道,”DeRamus说。“事实上,组织缺乏正确的工具来识别和纠正不安全的软件配置和部署。自动化云安全解决方案使企业能够检测到错误配置,并提醒适当的人员纠正问题,甚至可以实时触发自动化修复。”
值得一提的是AavGo并不是第一家通过配置错误的Elasticsearch数据库公开数据的公司。今年1月,数据分析公司阿森松的Elasticsearch数据库被发现泄露了约2400万份金融和银行文件,11月,据信属于data & Leads Inc.的5700万份记录被发现在网上以同样的方式泄露。
来源:安全内参
本文版权归原作者所有,如有侵权请联系我们及时删除
最新评论