超过11000辆印度公交车的实时位置在网上曝光

小编来报：印度研究人员发现， 27个印度交通机构的实时GPS和公交路线信息通过ElasticSearch服务器在网上曝光。

据ZDNet 1月7日报道，印度11000多辆公交车的实时GPS已在互联网上曝光了三个多星期。

安全研究员Justin Paine告诉ZDNet，数据是通过一个没有密码的ElasticSearch服务器泄露的，这个服务器一直处于在线状态。该服务器包含27家印度国有运输机构的数据，包括印度各地活动的公交车实时的精准GPS坐标、起止站、路线名称和路线信息。

当ZDNet询问关于目前信息泄露的用户数量时，该研究人员表示，由于不被授权在他人的服务器上进行资源密集型查询，因此无法确定有多少用户的信息被公开。

可以确定的是，该服务器至少在2018年11月30日就可以访问了。不过目前还不清楚在11月30日之前服务器已公开了多长时间。

Justin Paine透露，在联系印度的CERT（计算机安全应急响应组）后，服务器最终在12月22日进行了安全防护，但印度CERT代表拒绝透露服务器属于谁。据推测，这些数据很有可能是由某个政府实体收集的。

当ZDNet在当地新闻记者的帮助下试图确定泄漏源时，情况并不明了。目前，真相仍然成谜。

此次的泄漏事件有以下几点不得不引起重视：第一，用户名和电子邮件被泄露的人在城市走动时能被跟踪。第二，将泄露的邮件添加到发送垃圾邮件列表也会带来麻烦。第三，印度仍然是一个每年都发生恐怖袭击的国家，泄露的公交实时路线信息能帮助恐怖袭击者提前调整袭击计划，使损失最大化。

这是最新一起因未能妥善保护ElasticSearch服务器，从而导致的数据泄露事件。通过ElasticSearch服务器公开用户数据的事件包括SkyBrasil（3200万用户数据）、FitMetrix（3500万用户数据）、巴西圣保罗工业联盟（3480万用户数据）和一家数据分析公司（5700万美国公民和2600万家公司数据）。