导读 一个包含257,287个法律文件的数据库,其中一些标记为未指定要发布,没有密码就可以在公共互联网上暴露,任何人都可以访问和下载敏感法律材
一个包含257,287个法律文件的数据库,其中一些标记为“未指定要发布”,没有密码就可以在公共互联网上暴露,任何人都可以访问和下载敏感法律材料的宝库。
该安全研究员告诉ZDNet,该数据库在线上保留了大约两个星期,其中包含与美国法院案件有关的未发布法律文件。
“案件是从2002 - 2010年的时代,来自全国各地的[美国]美国”鲍勃Diachenko,网络威胁情报总监安全愉告诉网易科技今天在接受记者采访。
泄露的文件是通常在提交正式版本之前律师与法院之间交换的文件。该数据库同时包含公共版本和非公共版本,显示了某些案件如何演变的完整历史。
迪亚琴科告诉我们:“大多数文档都是公开的,但其中大约30%-40%是'未发表的意见'或'未指定发表的意见'。”
直到今天,这些文件的来源仍不确定。迪亚琴科说,他为该数据确定了两个可能的泄漏。
第一个是知识产权诉讼研究公司Lex Machina,这是法律软件巨头LexisNexis的一个部门,第二个是LexSphere,它是LexVisio的子公司,为律师事务所和法律部门提供法律外包服务。
迪亚琴科在今天发布的事件报告中说,他仅在发现可能的LexVision连接之前,才将泄漏的服务器通知了Lex Machina,因为这是他最初认为服务器所属的人。
该数据库最终在几周后得到保护,但研究人员表示他从未收到回复,并且直到今天仍不清楚该数据库属于谁。
数据库所有者很可能很容易地(自己)意识到服务器是公开可用的,并将其保护在防火墙后面,而这些内部数据库通常都存放在该位置。
这次泄漏的中心数据库是ElasticSearch服务器,这是一种用于驱动高级搜索系统的技术,该技术过去曾是许多类似泄漏的核心。