另壹家公司未能保護其數據庫的安全，並且有1.98億購車者被曝光

很多時候，高成本被引用為未能保護人們私人數據的主要原因。當組織遭受網絡攻擊時，他們傾向於說他們會使用正確的工具，並且如果不是那麼昂貴就會聘請合適的人。

然而，在許多情況下，公司不需要花費數百萬美元來保護人們的信息。通常，避免一些最基本的錯誤就是所需要的。最近涉及DealerLeads擁有的網站網絡的數據安全事件證實了這一點。

近2億購車者的數據暴露無遺

8月份，SecurityDiscovery.com的Jeremiah Fowler 發現了一個數據庫，其中包含了1.98億人的姓名，電子郵件，電話號碼，物理和IP地址以及其他可識別信息。起初，他努力找出誰擁有413GB數據集，但經過一些調查，他意識到它屬於DealerLeads。通過電子郵件發送的初始報告沒有得到答复，但是一旦他拿起電話，公司就開始行動並採取必要的預防措施來保護數據。

但DealerLeads是如何收集所有這些信息的呢？數據最終是如何暴露出來的？

DealerLeads的商業模式圍繞新舊汽車的買賣。不過，該公司實際上並沒有交易任何汽車。相反，它有一個良好的搜索引擎優化網站網絡吸引了大量的購車者，並將其重定向到支付額外流量和客戶的經銷商。

Jeremiah Fowler發現的信息顯然已被收集，而潛在的購車者仍然在DealerLeads的網站上。很難說用戶對數據收集的了解程度如何，而且還不清楚DealerLeads想用它做什麼。然而，無論數據庫的目的是什麼，它都沒有得到應有的保護。

由基本配置錯誤引起的另一個數據洩露

不幸的是，我們再次談論一個龐大的數據庫，其中包含大量敏感信息，任何人都可以通過瀏覽器訪問這些信息。再一次，它是一個暴露在互聯網上的ElasticSearch服務器，再一次，它沒有受密碼保護。

這是在最新的一個 很 長的 線所發生不是因為網絡罪犯太聰明或複雜的海量數據曝光的事件，但由於負責保護人們的信息沒有做他們需要做什麼的公司。

我們不是在討論昂貴的安全解決方案. 我們談論的是缺乏對可用工具及其保護機制的基本理解。這相當於將所有敏感數據放入智能手機，讓設備無人看管，並在公共場所解鎖。不同的是，在DealerLeads的情況下，接近2億人受到影響。這2億人有多擔心？

洩露的數據可能已被網絡犯罪分子訪問

在Jeremiah Fowler報告之後不久，該數據庫於8月20日離線。然而，沒有人說它暴露了多長時間，雖然很難說Fowler是否是第一個發現它的人，但研究人員自己承認他在報告之前已經“多次”看過它。換句話說，如果事實證明數據已落入壞人之手並不會令人感到意外，這使得DealerLeads不願發表公開聲明甚至是陌生人。

目前沒有任何官方消息，很難說SEO業務是否正在單獨聯繫受影響的用戶。無論如何，不應低估這一事件。

有足夠的可識別信息在現實世界中造成了很大的傷害，錯誤配置的ElasticSearch安裝中的IP地址和其他數據的存在也為數字犯罪打開了大門。如果您認為您的數據可能已暴露，那麼您應該比平時更加小心。