另壹家公司未能保護其數據庫的安全,並且有1.98億購車者被曝光
很多時候,高成本被引用為未能保護人們私人數據的主要原因。當組織遭受網絡攻擊時,他們傾向於說他們會使用正確的工具,並且如果不是那麼昂貴就會聘請合適的人。
然而,在許多情況下,公司不需要花費數百萬美元來保護人們的信息。通常,避免一些最基本的錯誤就是所需要的。最近涉及DealerLeads擁有的網站網絡的數據安全事件證實了這一點。
Table of Contents
近2億購車者的數據暴露無遺
8月份,SecurityDiscovery.com的Jeremiah Fowler 發現了一個數據庫,其中包含了1.98億人的姓名,電子郵件,電話號碼,物理和IP地址以及其他可識別信息。起初,他努力找出誰擁有413GB數據集,但經過一些調查,他意識到它屬於DealerLeads。通過電子郵件發送的初始報告沒有得到答复,但是一旦他拿起電話,公司就開始行動並採取必要的預防措施來保護數據。
但DealerLeads是如何收集所有這些信息的呢?數據最終是如何暴露出來的?
DealerLeads的商業模式圍繞新舊汽車的買賣。不過,該公司實際上並沒有交易任何汽車。相反,它有一個良好的搜索引擎優化網站網絡吸引了大量的購車者,並將其重定向到支付額外流量和客戶的經銷商。
Jeremiah Fowler發現的信息顯然已被收集,而潛在的購車者仍然在DealerLeads的網站上。很難說用戶對數據收集的了解程度如何,而且還不清楚DealerLeads想用它做什麼。然而,無論數據庫的目的是什麼,它都沒有得到應有的保護。
由基本配置錯誤引起的另一個數據洩露
不幸的是,我們再次談論一個龐大的數據庫,其中包含大量敏感信息,任何人都可以通過瀏覽器訪問這些信息。再一次,它是一個暴露在互聯網上的ElasticSearch服務器,再一次,它沒有受密碼保護。
這是在最新的一個 很 長的 線所發生不是因為網絡罪犯太聰明或複雜的海量數據曝光的事件,但由於負責保護人們的信息沒有做他們需要做什麼的公司。
我們不是在討論昂貴的安全解決方案. 我們談論的是缺乏對可用工具及其保護機制的基本理解。這相當於將所有敏感數據放入智能手機,讓設備無人看管,並在公共場所解鎖。不同的是,在DealerLeads的情況下,接近2億人受到影響。這2億人有多擔心?
洩露的數據可能已被網絡犯罪分子訪問
在Jeremiah Fowler報告之後不久,該數據庫於8月20日離線。然而,沒有人說它暴露了多長時間,雖然很難說Fowler是否是第一個發現它的人,但研究人員自己承認他在報告之前已經“多次”看過它。換句話說,如果事實證明數據已落入壞人之手並不會令人感到意外,這使得DealerLeads不願發表公開聲明甚至是陌生人。
目前沒有任何官方消息,很難說SEO業務是否正在單獨聯繫受影響的用戶。無論如何,不應低估這一事件。
有足夠的可識別信息在現實世界中造成了很大的傷害,錯誤配置的ElasticSearch安裝中的IP地址和其他數據的存在也為數字犯罪打開了大門。如果您認為您的數據可能已暴露,那麼您應該比平時更加小心。