目录导航
在收到安全研究员 Anurag Sen 的警告后,该公司通过将暴露的数据库标记为“无关紧要的数据库”来诋毁此事的敏感性。
著名的 IT 安全研究员Anurag Sen透露总部位于澳大利亚悉尼的贸易公司 ACY Securities (acy.com) 在网上公开了大量未经身份验证的用户和企业的个人和财务数据,所有人均可访问.
配置错误的数据库
发生这种情况是由于 ACY Securities 拥有的数据库配置错误。数据泄漏的更糟糕的部分是它包含超过 60GB 的数据,这些数据在没有任何安全认证的情况下被暴露。这意味着任何对在Shodan和其他此类平台上查找不安全数据库有一点了解的人都可以完全访问 ACY 的数据,这些数据包含 2020 年 2 月以来的日志,同时每秒都会更新最新的数据集。
暴露的数据库托管了以下用户数据:
- 全名
- 邮政编码
- 完整地址
- 出生日期
- 城市名称
- 性别详情
- 电子邮件地址
- 电话号码
- 哈希密码
- 与交易相关的信息,例如业务详细信息等。
大多数用户和企业受到影响的国家/地区列表:
- 印度
- 中国
- 西班牙
- 巴西
- 俄罗斯
- 澳大利亚
- 罗马尼亚
- 马来西亚
- 印度尼西亚
- 美国
- 英国
- 阿拉伯联合酋长国等等。
对数据的敏感性质标记为没有价值
Anurag 上周多次联系 ACY 并提供必要的证据,但该公司花了几天时间才了解并解决了这个问题。ACY 代表通过将暴露的服务器标记为“无关紧要的服务器”来回复研究人员。
“他们正式给我发邮件说“谢谢你提到这一点,下面的服务器是一个微不足道的服务器”
——“我对回复真的不满意。他们正在考虑注册用户的个人信息,包括散列密码、电子邮件地址、实际地址、全名和手机号码——微不足道。”
Anurag
尽管如此,在本文发表时,暴露的数据库是安全的,其 IP 地址不再可供公众访问。
潜在危险
配置错误和暴露数据库的严重性可以通过以下事实来量化:今年早些时候,Anonymous 及其附属黑客组织破坏了大约 90% 的俄罗斯云数据库 ,这些数据库在没有任何安全身份验证或密码的情况下向公众公开。
在 ACY 的案例中,考虑到暴露数据的范围和性质,该事件可能会产生深远的影响。例如,不良行为者可以下载数据并进行身份盗用、网络钓鱼诈骗、诈骗营销活动和小额贷款身份欺诈。
配置错误的数据库-对隐私的威胁
正如我们所知,配置错误或不安全的数据库已成为对公司和毫无戒心的用户的主要隐私威胁。2020 年,研究人员发现了 10,000 多个不安全的数据库,这些数据库在没有任何安全身份验证的情况下将超过 100 亿 (10,463,315,645) 条记录暴露给公众访问。2021 年,暴露的数据库数量增加到 399,200 个。
转载请注明出处及链接