超过11000辆印度公交车的实时位置在网上曝光

梦舞清愁 2019-01-09 10:50:19

据ZDNet 1月7日报道,印度11000多辆公交车的实时GPS已在互联网上曝光了三个多星期。

安全研究员Justin Paine告诉ZDNet,数据是通过一个没有密码的ElasticSearch服务器泄露的,这个服务器一直处于在线状态。该服务器包含27家印度国有运输机构的数据,包括印度各地活动的公交车实时的精准GPS坐标、起止站、路线名称和路线信息。

当ZDNet询问关于目前信息泄露的用户数量时,该研究人员表示,由于不被授权在他人的服务器上进行资源密集型查询,因此无法确定有多少用户的信息被公开。

可以确定的是,该服务器至少在2018年11月30日就可以访问了。不过目前还不清楚在11月30日之前服务器已公开了多长时间。

Justin Paine透露,在联系印度的CERT(计算机安全应急响应组)后,服务器最终在12月22日进行了安全防护,但印度CERT代表拒绝透露服务器属于谁。据推测,这些数据很有可能是由某个政府实体收集的。

当ZDNet在当地新闻记者的帮助下试图确定泄漏源时,情况并不明了。目前,真相仍然成谜。

此次的泄漏事件有以下几点不得不引起重视:第一,用户名和电子邮件被泄露的人在城市走动时能被跟踪。第二,将泄露的邮件添加到发送垃圾邮件列表也会带来麻烦。第三,印度仍然是一个每年都发生恐怖袭击的国家,泄露的公交实时路线信息能帮助恐怖袭击者提前调整袭击计划,使损失最大化。

这是最新一起因未能妥善保护ElasticSearch服务器,从而导致的数据泄露事件。通过ElasticSearch服务器公开用户数据的事件包括SkyBrasil(3200万用户数据)、FitMetrix(3500万用户数据)、巴西圣保罗工业联盟(3480万用户数据)和一家数据分析公司(5700万美国公民和2600万家公司数据)。

0 阅读:2

梦舞清愁

简介:提供销毁和处置,为IT圈服务,伴CIO成长