近期，中国猎头公司FMC Consulting被曝出大型数据泄露事件，它们所拥有的一个配置错误的ElasticSearch暴露在公网上，任何人都可访问控制。这个ElasticSearch中有数百万份简历和公司记录，还有不少客户和员工的个人隐私数据。

换句话说，任何不法分子都可轻易获得数十万条客户记录，内部电子邮件，员工日常工作的详细信息以及任何员工和客户的联系记录。

根据该公司的领英简介，“FMC成功地帮助我们的客户在中国这个充满活力的市场满足了10000多个职位需求（截至2018年底）。这些职位包括技术职位，中层管理职位和区域业务负责人。 “

GDI基金会成员及独立安全研究员的Sanyam Jain是此次数据泄露事件的发现者，他联系了BleepingComputer，以尽快通知猎头公司，下线数据库。

这名安全研究人员告诉BleepingComputer，该ElasticSearch包含以下数据：

• 9082份公司合同
• 884178份邮件日志，其中包括电子邮件正文
• 5392816份公司记录
• 20539522份简历
• 110000份客户记录
• 73000份客户留言
• 员工日常任务的详细信息
• 完整的办公室电话记录

虽然Sanyam和BleepingComputer都试图与FMC Consulting取得联系，但在长达两周的时间内，都没有收到该公司的任何回复。

我们还联系了中国国家计算机网络应急响应中心（CNCERT/CC），并在十天后收到了回复，他们表示了感谢，并说“CNCERT正在处理此事件”。

虽然等了十天才收到回复，但CNCERT的行动速度非常快，FMC Consulting的ElasticSearch在短短几个小时内就已无法从公网访问。

时间线：

5月20日 - Sanyam Jain发现暴露在公网的ElasticSearch
5月20日 - 研究员联系了FMC Consulting和CNCERT
5月23日 - BleepingComputer也联系了CNCERT
5月23日 - 研究员联系了其他FMC Consulting员工
5月29日 - 公司没有任何回复
5月30日 - CNCERT表示将负责此事件。
5月30日 - 几小时后问题解决
6月3日 - FMC Consulting和其员工仍然没有任何回复

ElasticSearch数据泄露事件频发

自2019年初以来，有关ElasticSearch的数据泄露事件频发，从网络赌场的一亿多条赌博数据泄露到中国求职网站的数十万份简历泄露，无一不是影响极为恶劣的大型数据泄露事件。

此外，在2018年11月期间，有超过1.14亿条美国公司和公民记录以及3200多万巴西有线电视客户记录遭到泄露。

正如ElasticSearch的开发团队在2013年12月所表示的那样，Elastisearch永远不应该暴露在互联网上，它们只能在本地内部网络上使用。

同时开发团队还建议ElasticSearch的管理员通过设置管理密码等一系列权限管理措施来保证安全。

消息来源：https://nosec.org/home/detail/2698.html