另一家公司未能保护其数据库的安全，并且有1.98亿购车者被曝光

很多时候，高成本被引用为未能保护人们私人数据的主要原因。当组织遭受网络攻击时，他们倾向于说他们会使用正确的工具，并且如果不是那么昂贵就会聘请合适的人。

然而，在许多情况下，公司不需要花费数百万美元来保护人们的信息。通常，避免一些最基本的错误就是所需要的。最近涉及DealerLeads拥有的网站网络的数据安全事件证实了这一点。

近2亿购车者的数据暴露无遗

8月份，SecurityDiscovery.com的Jeremiah Fowler 发现了一个数据库，其中包含了1.98亿人的姓名，电子邮件，电话号码，物理和IP地址以及其他可识别信息。起初，他努力找出谁拥有413GB数据集，但经过一些调查，他意识到它属于DealerLeads。通过电子邮件发送的初始报告没有得到答复，但是一旦他拿起电话，公司就开始行动并采取必要的预防措施来保护数据。

但DealerLeads是如何收集所有这些信息的呢？数据最终是如何暴露出来的？

DealerLeads的商业模式围绕新旧汽车的买卖。不过，该公司实际上并没有交易任何汽车。相反，它有一个良好的搜索引擎优化网站网络吸引了大量的购车者，并将其重定向到支付额外流量和客户的经销商。

Jeremiah Fowler发现的信息显然已被收集，而潜在的购车者仍然在DealerLeads的网站上。很难说用户对数据收集的了解程度如何，而且还不清楚DealerLeads想用它做什么。然而，无论数据库的目的是什么，它都没有得到应有的保护。

由基本配置错误引起的另一个数据泄露

不幸的是，我们再次谈论一个庞大的数据库，其中包含大量敏感信息，任何人都可以通过浏览器访问这些信息。再一次，它是一个暴露在互联网上的ElasticSearch服务器，再一次，它没有受密码保护。

这是在最新的一个 很 长的 线所发生不是因为网络罪犯太聪明或复杂的海量数据曝光的事件，但由于负责保护人们的信息没有做他们需要做什么的公司。

我们不是在讨论昂贵的安全解决方案. 我们谈论的是缺乏对可用工具及其保护机制的基本理解。这相当于将所有敏感数据放入智能手机，让设备无人看管，并在公共场所解锁。不同的是，在DealerLeads的情况下，接近2亿人受到影响。这2亿人有多担心？

泄露的数据可能已被网络犯罪分子访问

在Jeremiah Fowler报告之后不久，该数据库于8月20日离线。然而，没有人说它暴露了多长时间，虽然很难说Fowler是否是第一个发现它的人，但研究人员自己承认他在报告之前已经“多次”看过它。换句话说，如果事实证明数据已落入坏人之手并不会令人感到意外，这使得DealerLeads不愿发表公开声明甚至是陌生人。

目前没有任何官方消息，很难说SEO业务是否正在单独联系受影响的用户。无论如何，不应低估这一事件。

有足够的可识别信息在现实世界中造成了很大的伤害，错误配置的ElasticSearch安装中的IP地址和其他数据的存在也为数字犯罪打开了大门。如果您认为您的数据可能已暴露，那么您应该比平时更加小心。