據ZDNet 1月7日報道，印度11000多輛公交車的實時GPS已在互聯網上曝光了三個多星期。

安全研究員Justin Paine告訴ZDNet，數據是通過一個沒有密碼的ElasticSearch服務器泄露的，這個服務器一直處于在線狀態。該服務器包含27家印度國有運輸機構的數據，包括印度各地活動的公交車實時的精準GPS坐標、起止站、路線名稱和路線信息。

當ZDNet詢問關于目前信息泄露的用戶數量時，該研究人員表示，由于不被授權在他人的服務器上進行資源密集型查詢，因此無法確定有多少用戶的信息被公開。

可以確定的是，該服務器至少在2018年11月30日就可以訪問了。不過目前還不清楚在11月30日之前服務器已公開了多長時間。

Justin Paine透露，在聯系印度的CERT（計算機安全應急響應組）后，服務器最終在12月22日進行了安全防護，但印度CERT代表拒絕透露服務器屬于誰。據推測，這些數據很有可能是由某個政府實體收集的。

當ZDNet在當地新聞記者的幫助下試圖確定泄漏源時，情況并不明了。目前，真相仍然成謎。

此次的泄漏事件有以下幾點不得不引起重視：第一，用戶名和電子郵件被泄露的人在城市走動時能被跟蹤。第二，將泄露的郵件添加到發送垃圾郵件列表也會帶來麻煩。第三，印度仍然是一個每年都發生恐怖襲擊的國家，泄露的公交實時路線信息能幫助恐怖襲擊者提前調整襲擊計劃，使損失最大化。

這是最新一起因未能妥善保護ElasticSearch服務器，從而導致的數據泄露事件。通過ElasticSearch服務器公開用戶數據的事件包括SkyBrasil（3200萬用戶數據）、FitMetrix（3500萬用戶數據）、巴西圣保羅工業聯盟（3480萬用戶數據）和一家數據分析公司（5700萬美國公民和2600萬家公司數據）。

及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統

【網絡安全監管部門】免費試用

本文來源:網絡

如涉及侵權，請及時與我們聯系，我們會在第一時間刪除或處理侵權內容。
電話：400-869-9193 負責人：張明