一家网上赌场集团已经走漏了超越1.08亿笔投注的信息,其间包含有关客户个人信息,存款和取款的详细信息。
对此,安全研究员表示,这些数据走漏自没设置密码的 ElasticSearch 服务器。ElasticSearch 是一个搜索引擎,该引擎多是应用在企业内部用来处理灵敏信息的原因,一般这些信息不会走漏到网上。
安全研究员 Justin Paine 在上周就发现这个没有安全维护和身份验证的 ElasticSearch 实例,并确认了这是在线投注有关的信息。虽然服务器只有一个,但该 ElasticSearch 处理的信息大且来自多个网站,可以判别信息出处是一家运营多个博彩门户的大公司。
走漏数据中,好消息是银行卡信息被部分加密、没有公开完整的财务细节。坏消息则是近期赢得大笔金钱的玩家,姓名、家庭住址和电话号码——这些玩家或许被发现该数据库的人敲诈和勒索。
目前该服务器已下线。目前尚不清楚该服务器在网上曝光了多久、有多少用户受到了影响、是否有安全研究员以外的人看到了这些信息。
近年来企业 ElasticSearch 服务器数据走漏的新闻不在少数,原因多是企业未对该服务器进行加密。企业可以对 ElasticSearch 进行加密,或是考虑升级到最新版、确认与该服务器一起运用东西的安全性。