一名代号为0m3n的DevOps工程师,在这几天披露了一家以色列营销公司Straffic的数据库外泄意外,该数据库存放了140GB的通讯录,内置4,900万名用户的姓名、电话号码及地址,有趣的是,该数据库虽有设置密码保护,但Straffic却在一个连接到该数据库的随机域名上,留下了明文的数据库凭证。
0m3n向ISMG透露,他是因为过去两年一直受到垃圾短信的骚扰,而且这些短信都连接到一些奇怪的域名,使得他决定一探究竟,并在其中一个域名上找到了一个.env文件,这是一个指向AWS Elasticsearch实例的配置档,且这个配置档上以明文存放了该Elasticsearch实例的访问凭证。
因此,就算该Elasticsearch实例设有密码保护,但Straffic却把密码以明文放置在随机域名上的文件,而出现了安全漏洞。
Straffic则在消息曝光后发布了简短的声明,指出他们所使用的其中一个网站含有安全漏洞,在证实漏洞的存在之后随即修补了它,也强化了现有的安全机制。
不过,Straffic既未说明产生安全漏洞的原因,也未公布数据外泄的细节与数量,还在声明中表示“要打造一个完全免疫的系统是不可能的,这些事就是会发生。”而使得Have I Been Pwned的创办人Troy Hunt批评,这真是他所见过的最糟糕的披露通知之一。