国外网络安全研究机构SafetyDetectives于本周一（5月4日）爆料称，色情直播网站CAM4.com最近陷入了一起涉及上百亿条记录的重大数据泄露事件，而罪魁祸首竟又是一个配置错误的Elastic Search数据库。

CAM4.com是干啥的？

如上所述，CAM4.com是一个色情直播网站，注册在爱尔兰公司Granity Entertainment旗下。

在CAM4.com上，注册会员能够购买虚拟货币，这些货币可可用于打赏主播或付费观看某些特定内容。

据称，自2007年成立以来，CAM4.com仅支付给主播的佣金就已经超过了1亿美元。

7TB！108.8亿条！包括会员信息！

根据SafetyDetectives的说法，未得到正确保护的Elastic Search数据库包含超过7TB的数据，最早的记录可追溯至2020年3月16日，并且每天都在增加。

可访问的数据库记录超过108.8亿条，包括CAM4.com会员的个人身份信息（PII），具体如下：

• 姓名
• 电子邮箱地址
• 出生国家
• 注册日期
• 性取向
• 设备信息
• 其他个人身份信息（如语言等）
• 用户名
• 充值记录，包括支付类型、已充值的金额以及持有的虚拟货币
• 会员对话
• 电子邮件通讯记录
• 会员间对话
• 会员和CAM4.com之间的聊天记录
• 虚拟货币信息
• 哈希密码
• IP地址
• 欺诈检测日志
• 垃圾邮件检测日志

其中，总共大约有1100万条记录包含电子邮箱地址，而绝大多数都来自主流电子邮件服务商，如gmail.com、icloud.com和hotmail.com。

初步统计显示，受数据泄露影响最严重的CAM4.com会员主要为是美国人（大约为650万），其次是巴西人和意大利人（分别为530万和480万），具体国家/地区如下所示：

结语

尽管ElasticSearch的开发团队在2013年12月就已经强调，最好不要将Elastisearch服务器配置为从互联网访问。相反，将它配置为本地访问会是一个很好的选择。

但是，这一提醒似乎通常都被管理员给忽视了，再加上没有采取适当的保护措施（如使用强密码、基于使用者身份的访问控制和IP过滤），这无疑等同于将Elastisearch服务器暴露给所有人。