1. まとめトップ

Elasticsearchによるエクアドル全国民情報流出!?でも株価は下がってないのなんで?

Elasticsearchによるエクアドル全国民情報流出!?でも株価は下がってないのなんで?

更新日: 2019年09月21日

1 お気に入り 270 view
お気に入り追加

この記事は私がまとめました

chiyoseさん

エクアドル政府は、ほぼ全国民の個人情報が流出した恐れがあることを明らかにした。エクアドル国民2000万人超の情報が流出したとされる。

Novaestratと呼ばれるアナリティクスなどを手掛ける同国のコンサルティング企業が、「Elasticsearch」のサーバーを、パスワードなしで誰でもデータにアクセスできる状態にしていた

データには、エクアドル国民2000万人超の個人情報(数百万人の未成年に関する詳しい情報を含む)のほか、750万件の金融関連の情報、250万件の自動車の所有者情報が含まれていた

通信情報社会省の関係者は、同社がこれだけの量の非公開情報を手に入れた経緯については調査中だが、エクアドル政府のサーバーがハッキングや侵入を受けたわけではないと述べている。

 関係者は、Novaestratは2015~2017年に前政権下で政府が持つ情報へのアクセスを得ていた可能性があるという考えを示した。同社は前政権下で複数の政府契約を得ていた

Elasticsearchの設定ミス狙えばそこそこ情報取れそう。 脆弱な設定のElasticsearchによるエクアドル全国民情報流出の可能性についてまとめてみた - piyolog piyolog.hatenadiary.jp/entry/2019/09/…

脆弱な設定のElasticsearchによるエクアドル全国民情報流出の可能性についてまとめてみた - piyolog piyolog.hatenadiary.jp/entry/2019/09/… 最近のトレンドは、脆弱性と言うより、設定ミスのほうに偏重している気がするね。

HONDAといい、エクアドルといい Elasticsearchにしたらいい風評被害な気がする。 いくつかの事件を受けて プライベートネットワークをGCPに作るのは必須なのかな?と感じている

エクアドルの全国民情報流出の件、件のコンサル会社は本来情報持っていないはずだったんだ。どこから渡ったのか調べる必要あるだろうね。しかしそんなやばいデータなのに管理が杜撰すぎだわな。 / “脆弱な設定のElasticsearchによるエクアドル全国民情報流出の可能性につい…” htn.to/4haqKGFcGG

FastlyからElastic Cloudにログストリーミングできた。簡単。JSON文字列をパースしてツリー状にしたいとか、インデックスを時系列で分割したいとか、Elasticsearchならではの仕組みにもう少しフィットできるとより使いやすそう

この件Elasticsearchにアクセスされたのか……パスワードがガバガバだっただけで脆弱性突かれたとかではないみたいだけど、ちょっとドキッとしますわね。

脆弱な設定のElasticsearchによるエクアドル全国民情報流出の可能性についてまとめてみた - piyolog piyolog.hatenadiary.jp/entry/2019/09/… へー、Elasticsearchソースだったのか。たしかにesは初期設定だとノンパスフルオープンで80番REST API開くからなあ。

1