數(shù)據(jù)庫泄漏了250K法律文件,其中一些標(biāo)記為“未指定發(fā)布”
數(shù)據(jù)庫在兩周后被刪除。所有者從未確定過
一個包含257,287份法律文件的數(shù)據(jù)庫,其中一些標(biāo)記為“未指定用于出版”,在沒有密碼的情況下在公共互聯(lián)網(wǎng)上曝光,允許任何人訪問和下載敏感法律資料的寶庫。
該數(shù)據(jù)庫在線保留了大約兩周,其中包含與美國法院案件有關(guān)的未公布的法律文件,安全研究員發(fā)現(xiàn)它告訴ZDNet。
“案例發(fā)生在2002年至2010年之間,來自美國各地,”安全發(fā)現(xiàn)網(wǎng)絡(luò)威脅情報總監(jiān)Bob Diachenko今天在采訪中告訴ZDNet。
泄露的文件是在提交正式版本之前通常在律師和法院之間交換的文件。該數(shù)據(jù)庫同時包含公共和非公開版本,顯示了某些案例如何演變的完整歷史。
“大多數(shù)文檔是公開的,但大約30%-40%是'未發(fā)表的意見'或'未指定發(fā)表',”Diachenko告訴我們。
圖片:Bob Diachenko(提供的樣本)
即使到今天,這些文件的來源仍然不確定。Diachenko說,他發(fā)現(xiàn)了這些數(shù)據(jù)可能存在的兩個漏洞。
第一個是知識產(chǎn)權(quán)訴訟研究公司Lex Machina,法律軟件巨頭LexisNexis的一個部門,而第二個是LexSphere,LexVisio的一個分支,為律師事務(wù)所和法律部門提供法律外包服務(wù)。
EIU報告:管理應(yīng)用程序開發(fā)
在本EIU報告中,了解如何從1000多位業(yè)務(wù)主管的實(shí)際經(jīng)驗中管理應(yīng)用程序開發(fā)。
資源中心由Google Cloud提供
在今天發(fā)布的一份事故報告中,Diachenko說他只通知了Lex Machina漏水服務(wù)器,因為在找到可能的LexVision連接之前,他最初認(rèn)為該服務(wù)器屬于誰。
該數(shù)據(jù)庫最終在幾周后得到保護(hù),但研究人員表示他從未收到過回復(fù),至今仍不清楚該數(shù)據(jù)庫屬于誰。
數(shù)據(jù)庫的所有者很可能只是簡單地意識到服務(wù)器是公開可用的,并且在防火墻后面保護(hù)它,這些內(nèi)部數(shù)據(jù)庫通常都是保存的。
這個泄漏中心的數(shù)據(jù)庫是一個ElasticSearch服務(wù)器,這是一種為高級搜索系統(tǒng)提供動力的技術(shù),這些系統(tǒng)過去一直是許多類似泄漏的核心。