在线艺术品零售服务Artwork Archive 421G数据泄露

在线艺术品零售服务Artwork Archive 421G数据泄露

在线艺术品管理平台数据泄露数千名艺术家和客户数据被曝光.

此次数据泄露了用户的姓名、姓氏、电子邮件地址、实际地址和其他敏感信息。数以千计的艺术家、收藏家和他们的顾客处于弱势。无需密码或登录凭据即可访问此信息,并且数据未加密。此漏洞已得到保护。Artwork Archive 表示,“该漏洞已立即得到解决,没有其他证据表明第三方网络安全公司以外的任何人都曾访问过该漏洞。”

在线艺术品零售服务Artwork Archive 421G数据泄露
Artwork Archive官网截图

发生了什么?

Artwork Archive 是一个位于美国的在线艺术管理网站。该网站迎合了试图在线管理、购买和销售艺术品的个人艺术家和艺术组织。它拥有数以千计的客户和用户,包括奢侈品百货连锁店 Neiman Marcus、常春藤盟校布朗大学,以及罗伯特法伯和奥利弗杰弗斯等著名艺术家。

哪些数据易受攻击?

我们的道德网络研究人员团队发现了一个属于 Artwork Archive 的配置错误的 Amazon S3 存储桶,其中包含超过 200,000 个文件和 421 GB 的数据。这些文件的日期为 2015 年 8 月至发现之时。这个存储桶让 7,000 多名艺术家、收藏家和画廊变得脆弱,他们的客户也可能受到影响。暴露的 PII 包括全名、实际地址、电子邮件地址和购买详细信息。

大多数 PII 以 9,000 多张艺术品销售发票的形式出现。这些发票包含不同的详细信息,具体取决于卖家,但大多数至少包括艺术家本人的 PII。

在线艺术品零售服务Artwork Archive 421G数据泄露
发票示例(已编辑个人详细信息)
在线艺术品零售服务Artwork Archive 421G数据泄露
发票示例(已编辑个人详细信息)

暴露的 PII 的另一个主要来源是“出口联系人”。这些联系人通常是通过联系人管理功能添加到 Artwork Archive 的艺术家的联系人,包括艺术机构、个人艺术家、艺术收藏家、朋友和家人。来自导出联系人的易受攻击信息包括全名、电话号码、电子邮件地址、城市/国家和(如果适用)他们所属的公司。

还有数以千计的销售和收入报告与艺术品的销售以及从这些销售中获得的收入有关。虽然这些没有透露额外的 PII,但这是敏感的财务信息。这些报道清楚地表明,该平台正在管理大量资金的销售,其中一些作品的售价为数万美元

此外,泄漏中有许多库存报告。这些库存报告列出了特定艺术家、买家和画廊拥有的艺术品。这些报告中的艺术品包括让·米罗 (Jean Miro) 和马克·夏加尔 (Marc Chagall) 等著名艺术家的作品。

在线艺术品零售服务Artwork Archive 421G数据泄露
库存报告示例

有哪些风险以及如何保护自己

盗窃和欺诈:暴露的大量艺术家、订单和客户详细信息可能会让坏演员冒充艺术家并向客户出售伪造的艺术品。相反,艺术家的联系信息可用于进行退款或多付诈骗,其中假买家要求艺术家电汇退款给他们,因为他们开出的支票超过艺术品的价值。在电汇处理过程中,支票将被退回,除了已经损失的钱,艺术家还需要支付各种费用。此外,艺术家的实际作品可能会被盗,因为它们的位置已在库存报告中找到。

网络钓鱼:由于暴露了大量艺术品买家和艺术家的 PII,黑客可以通过伪装成艺术品档案馆或他们购买艺术品的其他网站的 SMS 消息和电子邮件瞄准他们,以让他们在恶意网站上输入财务信息。

企业间谍活动:随着艺术家的 PII、收入报告、销售报告和客户名单暴露,攻击者或竞争对手网站或艺术家可能会使用这些数据来损害他们的竞争,例如自己从 Artwork Archive 窃取客户。

不幸的是,上面的列表并不全面,网络犯罪分子总是在开发新的方法来利用互联网上的任何易受攻击的人。

为了将来的目的,我们建议您在进行购买或设置在线帐户时始终输入最少的信息。黑客需要处理的信息越少,您就越不容易受到攻击。如果您是一名艺术家并且担心假买家与您联系,请确保永远不要向新客户透露任何个人信息,也不要将钱汇给您不熟悉的买家。

尽管大多数电子邮件客户端都有阻止垃圾邮件和网络钓鱼企图的方法,但它们并非 100% 有效。从看似可靠的来源收到意外电子邮件时,请勿打开任何附件。网络钓鱼电子邮件通常使用恐吓策略来强迫用户打开附件如果您不确定来自值得信赖的公司的电子邮件,请给他们打电话。这通常会让您验证附件是否合法。一个好的防病毒程序还可以帮助抵御恶意软件、特洛伊木马和其他危险。

在潜在的企业间谍案件中,公司和在这种情况下的艺术家应尽快警告其客户违规行为,以确保其客户的警惕性和安全性。

from

Leave a Reply

您的电子邮箱地址不会被公开。 必填项已用*标注