Tech Data Corporation在未受保護的數據庫中留下了264GB的個人和財務信息

Tech Data Leak

你們中的一些人可能不熟悉Tech Data Corporation的名稱,但你一定聽說過它的客戶。 Tech Data是一家財富500強企業,為世界上一些最大的科技企業提供各種IT產品和服務。它的年收入接近400億美元,與蘋果,微軟,索尼,LG,惠普,戴爾,思科等公司合作。您可能認為Tech Data在正確存儲敏感信息方面沒有問題。我們有一些壞消息。

安全專家Noam Rotem和Ran Locar正在幫助vpnMentor的研究小組進行一些端口掃描,因為他們偶然發現了一個沒有任何形式保護的數據庫。看到以這種方式暴露的寶藏信息,Rotem和Locar 並不陌生 。然而,他們幾乎立即知道,這一次,數據洩漏是嚴重的。

大公司創建大數據庫

研究人員注意到的第一件事就是Elasticsearch數據庫的大小。它的重量為264GB,這表明它很可能屬於一家大公司。果然,當他們調查時,他們意識到它是由Tech Data建立的。

根據TechCrunch的Zack Whittaker ,Tech Data的StreamOne雲服務使用了暴露的數據庫,該服務顯然不僅處理客戶的個人和財務信息,還處理一些後端日誌和詳細信息。

它太大了,Rotem和Locar根本沒有時間徹底檢查它。他們與Zack Whittaker分享了部分數據,他們發現了“數以萬計”客戶的記錄,但這還不足以讓我們了解影響有多大。惠特克向Tech Data詢問了更多信息,該公司確實承認了這一事件,但它決定不對具體細節發表評論。我們確實知道的是,數據庫包含一個真正令人眼花繚亂的數據陣列。

Tech Data無意中暴露了大量的個人和商業信息

Tech Data的StreamOne存儲了大量關於用戶的個人身份信息(PII),包括姓名,電子郵件和實際地址,電話號碼,職位等。該數據庫還包含登錄憑據以及信用卡詳細信息和一些發票信息。除卡號外,所有數據都以純文本格式存儲。

好像這還不夠,漏洞數據庫保存了Tech Data的競爭對手可能會感興趣的信息,包括私有API密鑰,IP地址和各種其他後端細節。

Rotem和Locar確實為Tech Data的安全團隊提供了相對快速的反應。儘管該公司未能在6月2日對研究人員的初始警報作出回應,但兩天后第二次電話報警時,它回復了。幾小時後,數據庫被脫機,從那時起就無法訪問。在數據洩漏的情況下迅速採取行動確實非常重要。也就是說,Tech Data的一家公司應該首先防止這種暴露發生。

July 16, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
4 + 4是什麼?