【猎云网(微信号:ilieyun)】5月15日报道(编译:福尔摩望)
Justin Paine坐在加州奥克兰的一家酒吧里,在互联网上搜索着你最敏感的数据。很快,他就找到了有希望的线索。
他在自己的笔记本电脑上打开了Shodan,一个云服务器和其他互联网连接设备的可搜索索引。然后,他键入关键词“Kibana”,调出了1.5万多个在线存储的数据库,开始挖掘结果。
“这个来自俄罗斯”Paine说。“这个居然权限大开。”
通过Shodan,Paine可以筛选每个数据库并检查其内容。一个数据库似乎有关于酒店客房服务的信息。如果他继续往下看,可能会找到信用卡或护照号码。这样的事情并不令人感到惊讶,过去,他曾发现数据库中包含着来自戒毒中心的患者信息,以及图书馆借阅记录和在线赌博交易。
Paine是非正式网络研究大军的一部分,这些人沉溺于一种非常模糊的激情:搜索互联网上不安全的数据库。未加密且清晰可见的数据库可以包含各种敏感信息,包括姓名、地址、电话号码、银行详细信息、社会保险号和医疗诊断。如果落入坏人之手,这些数据可能会被用于欺诈、身份盗窃或敲诈。
数据狩猎社区既兼收并蓄,又全球化。它的一些成员是专业的安全专家,另一些则是爱好者。有些是高级程序员,有些却一行代码也不会写。他们分布在乌克兰、以色列、澳大利亚、美国,和几乎任何你能够提到的国家。他们只有一个共同的目的:促使数据库所有者锁定你的信息。
搜寻不安全数据似乎成为了这个时代的标志。任何组织,包括私人公司、非营利组织或政府机构,都可以轻松且廉价地在云上存储数据。但是许多帮助将数据库放到云中的软件工具,在默认情况下都会暴露数据。即使这些工具从一开始就意图让其成为私有数据,但也不是每个组织都有相应的专业知识,知道应该保留哪些保护措施。通常,数据只是以纯文本形式存在,等待读取。这意味着像Paine这样的人总能找到一些东西。今年4月,以色列的研究人员发现了8000多万美国家庭的人口统计细节,包括地址、年龄和收入水平。
网络安全专家Troy Hunt表示,没有人知道问题的规模有多大。Hunt在自己的博客上记录了数据库泄漏的问题。他说,不安全的数据库比研究人员公布的要多得多,但你只能对所能看到的进行统计。此外,不断地有新数据库被添加到云中。
Hunt说:“这只是冰山一角。”
要搜索数据库,你必须对无聊和失望拥有着很高的容忍度。Paine说,要发现酒店客房服务数据库是否实际上是暴露敏感数据的缓存需要几个小时的时间。钻研数据库可能会让人麻木,而且往往会充满错误的线索。它虽然不像大海捞针,但却像在堆满干草堆的田野里搜寻一根针一样。此外,我们也不能保证狩猎者能够提示暴露数据库的所有者修复这个问题。有时,所有者会威胁采取法律行动。
数据库大奖
然而,回报可能是激动人心的。来自乌克兰的Bob Diachenko曾在一家名为Kromtech的公司从事公关工作,该公司从一名安全研究员那里得知存在数据泄露。这段经历引起了Diachenko的兴趣,他在没有任何经验的情况下就加入了数据库狩猎大军。7月,他在一个不安全的数据库中找到了数千名美国选民的记录,只需使用关键词“选民”就可以查看到。
“如果我,一个没有技术背景的人,能找到这些数据,”Diachenko说。“那么世界上任何人都能找到这些数据。”
今年1月,Diachenko在一个公开的数据库中发现了2400万份与美国抵押贷款和银行业务相关的金融文件。这一发现以及其他发现所产生的宣传,帮助Diachenko推广了SecurityDiscovery.com——他离职后创办的一家网络安全咨询公司。
公开问题
UpGuard网络风险研究主管Chris Vickery表示,各种庞大的发现提高了人们的认知,并有助于吸引那些急于确保自己的名字与草率行为无关的公司的业务。他说,即使这些公司不选择UpGuard,这些发现的公关性质也有助于他的领域发展。
今年早些时候,Vickery通过在“数据湖”上搜索,来寻找大的发现,数据湖是指以多种文件格式存储的大量数据汇编。
这一搜索帮助他的团队找到了迄今为止最大的发现之一,即存储在云中的5.4亿条Facebook记录,包括用户名、Facebook账号和大约2.2万个未加密的密码。这些数据是由第三方公司所存储的,而不是Facebook本身。
确保安全
Facebook表示,它迅速采取行动移除相关数据。但并不是所有公司都能够作出反应。
当数据库狩猎者无法让公司做出反应时,他们有时会求助于使用笔名Dissent的安全作者。她过去曾自己寻找过不安全的数据库,但现在则主要提醒公司对其他研究人员发现的数据暴露做出反应。
“最佳回答是,‘谢谢你让我们知道。我们正在保护它,正在通知患者或顾客以及相关监管机构,”Dissent说,她要求媒体使用自己的笔名,以保护她的隐私。
并非每家公司都明白数据泄漏意味着什么,Dissent也在她的网站Databreaches.net上记录了这一点。2017年,Diachenko寻求她的帮助,向纽约一家医院报告了一家金融软件供应商的健康记录泄漏问题。
医院称这是一次黑客攻击,尽管Diachenko只是在网上找到了数据,并没有破解任何密码或加密来查看。Dissent写了一篇博客解释说,一家医院承包商没有保护数据。这家医院聘请了一家外部信息技术公司对此进行了调查。
工具是好是坏
数据库猎人使用的搜索工具非常强大。
Paine坐在酒吧里向我展示了他的一种技术,这种技术让他可以在亚马逊网络服务数据库中找到暴露的数据。他说,这些数据是“用各种不同的工具一起进行黑客攻击的”。这种权宜之计是必要的,因为存储在亚马逊云服务上的数据没有在Shodan上建立索引。
首先,他打开了一个名为Bucket Stream的工具,该工具搜索网站访问加密技术所需的安全证书的公共日志。这些日志让Paine找到亚马逊存储的数据容器的名称,并检查它们是否公开可见。
然后他使用一个独立的工具来创建一个包含他发现的可搜索数据库。
对于一个在互联网中搜索个人数据缓存的人来说,Paine在检查结果时不会表现出高兴或沮丧。这就是互联网的现实。它充满了数据库,这些数据库应该被锁定在密码后面并加密,但现实却并非如此。
他说,理想情况下,公司会聘请专家来完成他的工作。他说,公司应该“确保你的数据没有被泄露。”
如果这种事情发生得更频繁,Paine将不得不寻找一种新的爱好。但这对他来说可能很难。
“这有点像毒品,容易上瘾,”他说。