Рубрика «elasticsearch» - 5

в 4:32, , рубрики: elasticsearch, Администрирование баз данных, информационная безопасность, утечка данных, утечка информации, утечки информации

Сегодня рассмотрим сразу два кейса – данные клиентов и партнеров двух совершенно разных компаний оказались в свободном доступе «благодаря» открытым серверам Elasticsearch с логами информационных систем (ИС) этих компаний.

Два в одном: данные туристов и билеты на культурные мероприятия находились в открытом доступе - 1

В первом случае — это десятки тысяч (а может и сотни тысяч) билетов на различные культурные мероприятия (театры, клубы, речные прогулки и т.п.) продаваемые через систему «Радарио» (www.radario.ru).

Во втором случае — это данные о туристических поездках тысяч (возможно нескольких десятков тысяч) путешественников, купивших туры через турагентства, подключенные к системе «Слетать.ру» (www.sletat.ru).

Сразу отмечу, что отличаются не только названия компаний, допустивших попадание данных в открытый доступ, но и подход этих компаний к признанию инцидента и последующая реакция на него. Но обо всем по порядку…

Читать полностью »

в 5:42, , рубрики: elasticsearch, Администрирование баз данных, информационная безопасность, медицина, телемедицина, утечка данных, утечка информации, утечки информации

И снова здравствуйте! У меня опять нашлась для вас открытая база с медицинскими данными. Напомню, что совсем недавно тут было три моих статьи на эту тему: утечка персональных данных пациентов и врачей из медицинского онлайн-сервиса DOC+, уязвимость сервиса «Доктор рядом» и утечка данных станций скорой медицинской помощи.

Все ваши анализы в открытом доступе - 1

На этот раз в открытом доступе оказался сервер Elasticsearch с логами медицинской IT-системы сети лабораторий «Центр молекулярной диагностики» (CMD, www.cmd-online.ru).

Читать полностью »

в 11:05, , рубрики: data breach, data leak, elasticsearch, Администрирование баз данных, госуслуги, информационная безопасность, платежные системы, утечки данных, утечки информации

Медицинские данные – были, данные по кредитам – были, на этот раз пришла очередь данных по платежам за штрафы ГИБДД и задолженности по исполнительным производствам службы судебных приставов.

Сотни тысяч платежей граждан в ГИБДД и ФССП находились в открытом доступе - 1

Хорошая новость в том, что эти платежи не связаны с официальным сайтом Госуслуг. Плохая новость – данных много, и они более чем «персональные».

Читать полностью »

в 5:35, , рубрики: elasticsearch, Администрирование баз данных, информационная безопасность, утечка данных, утечка информации, утечки информации

Несколько дней назад со мной произошло ровно то, что написано в заголовке. В далеком 2014 году (а именно 28 декабря в 17:00) мы с женой и друзьями играли в перформанс-квест «Коллекционер» от «Клаустрафобии» и уже давно про это забыли, но «Клаустрафобия» напомнила о себе самым неожиданным образом.

Любите квесты, любите и свои персональные данные в паблике находить - 1

А собственно вот и наша фотография, которая нашлась в открытом доступе (я спиной, остальные лица искажены для этой статьи)…

Читать полностью »

в 14:52, , рубрики: elastic, elasticsearch, open source

В контексте событий про Open Distro, открытие исходников X-Pack, а также статьи «The Cloud and Open Source Powder Keg» — перевод поста Шейя Бэнона (основатель и CEO Elastic).

Про «Open» Distros, Open Source, и создание компании Elastic - 1Читать полностью »

в 7:02, , рубрики: elasticsearch, java, open source, pvs-studio, static code analysis, Блог компании PVS-Studio, поисковые технологии

Picture 1

Далеко не первый год команда PVS-Studio ведет блог о проверках open-source проектов одноименным статическим анализатором кода. На сегодняшний момент проверено более 300 проектов, а в базу найденных ошибок выписано более 12000 случаев. Изначально анализатор был реализован для проверки C и C++ кода, далее появилась поддержка языка C#. Поэтому среди проверенных проектов большая часть (> 80%) приходится именно на C и C++. Совсем недавно к поддерживаемым языкам прибавился Java, а это значит, что перед PVS-Studio открываются двери в новый мир, и пора дополнять базу ошибками из Java проектов.

Java мир огромен и многообразен, поэтому глаза разбегаются при выборе проекта для испытания нового анализатора. В конечном итоге, выбор пал на движок полнотекстового поиска и аналитики Elasticsearch. Это достаточно успешный проект, а в успешных проектах находить ошибки вдвойне, а то и втройне приятнее. Так что, какие же дефекты обнаружил PVS-Studio для Java? О результате проверки и пойдет речь в статье.
Читать полностью »

в 11:54, , рубрики: amazon, Commons Clause, elastic, elasticsearch, open source, бизнес-модели, облачные сервисы, первая мировая война, свободная лицензия

Облака и пороховая бочка Open Source - 1

«Европа сегодня похожа на пороховой погреб, а лидеры — словно люди, курящие внутри. Одна искра вызовет взрыв, который погребёт нас всех. Я не знаю, когда это произойдёт, но знаю, где. Всё испортит какое-нибудь дурацкое событие на Балканах» — Отто фон Бисмарк, 1878

Сто лет назад 11 ноября 1918 года было подписано перемирие, положившее конец Первой мировой войне. Число потерянных жизней в той войне сейчас трудно себе представить. Например, в Америке по праву считают вьетнамскую войну военной катастрофой. За двадцать лет боевых действий США потеряли 58 318 бойцов. Для сравнения, только в первой битве на Марне в 1914 году союзники потеряли вчетверо больше. За пять дней.
Читать полностью »

в 4:13, , рубрики: amazon, AWS, elastic, elasticsearch, elk, open source

Эта статья — обзор новостей о том, как:

  • Amazon выпустила Open Distro for Elasticsearch
  • почему они это сделали?
  • что это значит для компании Elastic и для Open Source вообще?

Elastic

Жила была компания Elastic.

Было у них несколько Open Source продуктов:

  • сам Elasticsearch: сервер, который получает, хранит логи и позволяет по ним делать поиск
  • Kibana: frontend движок, который берёт данные из Elasticsearch и из них рисует красивые репорты
  • ещё несколько утилит, которые собирают логи. Например LogStash

Elasticsearch бывают называют ELK (лось), как акроним основных элементов:

Elasticsearch
LogStash
Kibana

Хотя компоненты «L» и «K» в общем-то можно заменять на другие: Beats, Grafana,…

Ещё у Elastic есть X-Pack.
Это коммерческий продукт. Часть из возможностей X-Pack — платная (довольно дорогая) и часть — бесплатная (но лицензия всё равно коммерческая).

X-Pack расширяет возможности ELK:

— security
— alerting
— monitoring
— reporting
— graph
— …

Причём если не ставить X-Pack, то отсутствуют некоторые довольно существенные возможности. Например, по умолчанию ELK отсутствует аутентификация, то все данные «торчат» наружу. Можно прикрутить обратный прокси и сделать basic authentication (так себе вариант), а можно купить X-Pack.

Ход 1: Elastic хитро меняет лицензию

Читать полностью »

в 7:48, , рубрики: data breach, data loss, elasticsearch, mongodb, shodan, Администрирование баз данных, информационная безопасность, поисковые технологии, системное администрирование

Some time ago among security researchers, it was very “fashionable” to find improperly configured AWS cloud storages with various kinds of confidential information. At that time, I even published a small note about how Amazon S3 open cloud storage is discovered.

However, time passes and the focus in research has shifted to the search for unsecured and exposed public domain databases. More than half of the known cases of large data leaks over the past year are leaks from open databases.

How to Discover MongoDB and Elasticsearch Open Databases - 1

Today we will try to figure out how such databases are discovered by security researchers...

Читать полностью »

в 7:28, , рубрики: devops, elasticsearch, grafana dsl, heka, java, kibana, log4j, moira, open source, Блог компании Яндекс.Деньги, мониторинг инфраструктуры, релиз-менеджмент, системное администрирование, яндекс.деньги

Привет! Вдоволь наотдыхавшись после длинных праздников, мы снова готовы причинять вам пользу всеми доступными способами. Коллегам из IT-департамента всегда есть что рассказать, и сегодня мы делимся с вами докладом Александра Призова, системного администратора Яндекс.Денег, с митапа JavaJam.

Как мы выстроили поток обратной связи для обнаружения проблемных релизов с помощью Graphite и Moira. Расскажем, как собирать и анализировать метрики о количестве ошибок в приложении.

Читать полностью »

1...456...10...14
Рейтинг@Mail.ru
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js