2020年9月12日,Comparitech研究人员和安全专家亚伦·菲利普斯(Aaron Phillips)发现了一个可公开访问的数据库,其中包含约200个 个人识别信息(PII)和 美国数字营销服务提供商Friendemic的270万消费者信息。
泄露的数据包括美国Friendemic客户的姓名,电子邮件ID和电话号码。未加密的数据库不受密码保护,因此可以公开访问,并且不涉及任何身份验证过程。
Friendemic成立于2020年,是一家客户管理和数字营销公司,主要从事汽车经销业务。它提供诸如社交媒体广告,在线评论,销售分析,视频共享等服务。
Friendemic已确认事件,并声称该数据库是存档备份,在Comparitech通知有关风险之后,该公司立即保护了数据。保护数据库安全之后,Friendemic通过电子邮件发布了一份正式声明,内容如下:
“虽然没有公司希望发生这种情况,但我们很高兴修复此漏洞。感谢您通知我们并采取专业行动。我们还已将这种情况通知了我们的客户,并一直在彻底审查和增强我们的数据安全性。”
Comparitech在其博客文章中指出,不清楚在Phillips发现数据库之前将数据库暴露多长时间。在9月12日发现公开数据库后,Phillips根据Comparitech的负责公开政策于9月14日通知Friendemic,并于9月15日对其进行了保护。
Friendemic尚未确切说明谁受到数据泄露的影响,但它表示数据不属于其汽车经销商客户。该公司还声称,暴露数据时未使用OAuth令牌。
Comparitech研究人员写道,还不清楚是否有未经授权的第三方访问了数据。但是,即使恶意方未访问数据,Friendemic的客户仍应与公司联系并查询违规情况。