有信安咨询商受访介绍,上海公安所泄数据库的Kibana操作面板一直暴露在公网地址且未设密码。受访专家说,这类错误配置很常见,但未设防的数据规模竟达26.4TB还是令人震惊。
Shadowbyte负责人Vinny Troia受访说今年1月扫描到该面板入口。SecurityDiscovery负责人Bob Diachenko 说4月27日扫描到面板入口,又说估计面板去年4月起即一直暴露;6月中旬数据突然被抹除、仅留下几条字据说“您的数据一切安全、但需用10BTC提取”。论坛兜售帖文是6月30日发表;7月1日再去检视发现勒索字据已消失,面板仍对公网开放、但数据量减少到了7GB;周末事件在公众发酵,面板才下线。
至于网友发现2020年一篇CSDN博客 (https://web.archive.org/web/20220703054515/https://blog.csdn.net/lyxx1021/article/details/107077579)不慎泄露疑同属上海公安的DataHub服务访问密钥,受访专家认为与本次泄露无关。
https://www.wsj.com/amp/articles/china-police-database-was-left-open-online-for-over-a-year-enabling-leak-11657119903
https://edition.cnn.com/2022/07/05/china/china-billion-people-data-leak-intl-hnk/index.html  |
