3500万条美国居民个人信息暴露在网上 由于数据库未加密

3500万条美国居民个人信息暴露在网上 由于数据库未加密

Comparitech 研究人员报告说,一个包含估计 3500 万人个人详细信息的神秘营销数据库在没有密码的情况下暴露在网络上。该数据库包括姓名、联系信息、家庭住址、种族以及从爱好和兴趣到购物习惯和媒体消费的大量人口统计信息。

Comparitech 研究人员查看的文件样本表明,大部分记录与芝加哥、洛杉矶和圣地亚哥及其周边地区的居民有关。

3500万条美国居民个人信息暴露在网上 由于数据库未加密

任何拥有网络浏览器和互联网连接的人都可以完全访问该数据库。数据库中的信息可用于有针对性的垃圾邮件和诈骗活动以及网络钓鱼。它还威胁到不想公开其个人详细信息(包括地址和/或联系信息)的人的隐私。

曝光时间线

Compariech 网络安全研究团队的负责人 Bob Diachenko 于 2021 年 6 月 26 日发现了该数据库。我们不知道它之前暴露了多长时间。

在我们用尽一切手段后,我们无法确定数据库的所有者。Diachenko 求助于托管数据库服务器的亚马逊网络服务,要求将其删除。

数据可访问至 2021 年 7 月 27 日。

3500万条美国居民个人信息暴露在网上 由于数据库未加密

总的来说,这些信息至少暴露了一个月。我们的蜜罐实验表明,网络犯罪分子可以在几个小时内找到并访问像这样的不安全数据库。

3500万条美国居民个人信息暴露在网上 由于数据库未加密

暴露了哪些数据?

3500万条美国居民个人信息暴露在网上 由于数据库未加密
来自公开数据库的单个记录的小样本数据

Elasticsearch 数据库托管在 Amazon Web Services 上,可通过面向公众的 Kibana 界面访问,无需身份验证即可访问。它总共包含超过 3500 万条记录。这些记录中的每一个都包含以下全部或部分信息:

全名
家庭地址
出生日期
电话号码
电子邮件地址
种族
性别
婚姻状况
职业
分类人口统计数据。这些是数据主体的指标:
兴趣(汽车、葡萄酒、针织等)
媒体消费(PC 游戏玩家、卫星电视用户、有声读物听众等)
估计收入
估计净值
宠物所有权
房产信息(估计房屋价值、购买日期、有游泳池等)
生活方式(运动、富裕、高科技等)
购买习惯(信用卡等级、购买珠宝、信用额度等)
隶属关系(慈善机构类型、政党等)

每个人的记录包含268个信息字段,这里就不一一介绍了。

大多数数据主体似乎是伊利诺伊州和加利福尼亚州的居民,但也有一些与周边州有关。Comparitech 使用公开的姓名和电话号码联系了少数数据主体,以验证数据库中的信息是否真实。

数据库中的每条记录还包含一个八位或九位的 ID 号。乍一看,其中一些似乎是社会安全号码,但经过进一步调查,我们不再认为情况如此。尽管如此,我们仍然敦促杜佩奇县居民谨慎行事,并向 FTC报告任何企图盗用身份的事件。

数据库中没有财务信息或密码。

数据从哪里来?

我们不知道。

我们无法发现任何证据表明数据属于谁。我们作为可能所有者接触的组织否认数据属于他们。我们唯一的线索是托管服务器的时区设置为印度加尔各答。

数据库中的时间戳表明早在 2010 年就开始收集信息。最近更新了现有信息并在 2021 年 5 月添加了新信息。

这些数据很可能用于营销目的。

大部分记录包括一个称为“源域”[source domain]的字段,它可能暗示信息的来源。该字段通常包含最初可以收集数据的网站域。这些网站即使不是彻头彻尾的骗局,也往往是狡猾的:租房自有房屋、游轮赠品、预付款、现金抽奖等。因此,这似乎是垃圾邮件或诈骗营销数据库。

但至于聚合所有数据并最终在网络上公开的个人或组织的身份,我们不知道。

暴露信息的危险

人口统计数据与联系信息的结合是垃圾邮件发送者和诈骗者的金矿。他们可以使用这些信息通过个性化的电子邮件、短信和电话联系受害者。芝加哥、洛杉矶和圣地亚哥的居民应该注意诈骗和网络钓鱼计划。

切勿单击未经请求的电子邮件中的链接,并始终在提供任何个人或财务信息之前验证发件人的身份。

这些信息还威胁到不想公开姓名、联系信息和地址的人的隐私:家庭虐待受害者、无证移民、法官、律师和前罪犯,仅举几例。

我们为何报告此数据事件

Comparitech 的网络安全研究团队会定期扫描互联网,寻找包含个人信息的未受保护的数据库。当我们发现一个暴露的数据库时,我们会立即开始调查谁对它负责、谁可能受到影响、哪些数据被暴露以及对最终用户的潜在影响。

在确定谁对数据负责后,我们会立即根据我们负责任的披露政策提醒他们。一旦数据得到保护并且我们的调查完成,我们就会发布一篇这样的文章,以提高认识并遏制对最终用户的伤害。在这种情况下,在未能确定所有者身份后,我们通知了托管服务提供商 Amazon Web Services,后者代表我们联系了所有者。

from

Leave a Reply

您的电子邮箱地址不会被公开。