關於近期揭露iRent資料庫曝險的研究人員Anurag Sen,大家或許也好奇他在這方面的經驗,其實,對於企業資料庫配置不當的問題,過去他就不時揭露相關事件,例如,iThome在2019年當時報導過他在AWS上發現了一個公開資料庫,之後發現是屬於孟買的社交行銷業者Chtrbox所擁有。
最近兩年,他也持續將相關發現,提供給幾家科技媒體,例如,2021年10月,他揭露了巴西電子商務公司Hariexpress的Elasticsearch伺服器,暴露了1億條資訊,包含客戶和賣家的個人資訊;2022年4月,他發現澳洲ACY Securities外匯經紀商的資料庫配置錯誤,當中存放了使用者個人與企業的財務資料;在2022年9月,他在阿里雲代管的伺服器上發現曝露在網際網路的資料庫,內含8億中國車牌、人臉資料;在2023年1月,他又發現美國ERP業者擁有的Elasticsearch伺服器,不需帳密就能存取,內含50萬印度求職者詳細資訊。當中不少事件,在iThome的資安日報中也都持續有報導。
值得注意的是,在上述相關揭露中,有些事件Anurag Sen明確指出是Elasticsearch伺服器,有些則沒有說明是何種類型伺服器,而這次iRent的揭露,就是屬於後者。
因此,到底是何種類型資料庫也引發各界猜測,不過若是以資安業者Group-IB在2022年4月發布的一項統計來看,他們在2021年第1季到2022年第1季發現的39.9萬個曝險資料庫,其資料庫類型是以Redis資料庫管理系統最高(37.5%)、第二是MongoDB(31%),第三是Elastic(29%)。無論如何,這些類型資料庫的安全配置,都將是企業必須面對的管理挑戰。
對於有研究人員通報這件事,也帶給我們一些省思。例如,若非國外資安研究員熱情、自發性地主動協助通報,否則資料庫曝險時間可能更久;還有像是有國外研究人員通報給我國的企業,相對地,是否有國內研究人員發現這方面的問題,通報給其他國家的企業,展現臺灣也能幫助全球的能力;再者,除了企業本身就應該重視資料庫的安全防護,這本該就是企業自己的責任,不過我們或許也能想想,現在強調資安聯防之下,我國政府或產業是否也能有相關機制,幫助國內業者早一步發現這類問題,縮短曝險時間。
熱門新聞
2024-11-29
2024-11-20
2024-11-15
2024-11-15
2024-12-19