目录导航
研究人员检查的大多数电子邮件地址都包含 .gov 后缀或表明用户为纽约警察局(NYPD)工作。
在 Ran Locar和 Noam Rotem 的带领下,vpnMentor 的研究团队发现B2B 营销公司 OneMoreLead 泄露了多达 1.26 亿美国人的私人数据。
OneMoreLead 将所有这些信息存储在一个不安全的数据库中,该公司已将其完全开放。结果,姓名、电子邮件地址和工作场所信息暴露给任何拥有 Web 浏览器的人。
如果恶意黑客发现了这个数据库,它将成为各种犯罪活动的金矿,从金融欺诈和身份盗窃,到针对美国公司和政府机构的大规模网络钓鱼攻击。
这些数据的来源仍然是个谜。OneMoreLead 不太可能投入必要的资源来手动收集 1.26 亿美国公民的数据,除非他们在公司成立之前很久就开始这样做了。但无论 OneMoreLead 是如何获得这些记录的,它仍然对因未对其进行保护而造成的任何损害负责。
数据泄露摘要
| 公司 | OneMoreLead |
| 行业 | B2B 销售和营销 SAAS |
| 以千兆字节为单位的数据大小 | 34GB |
| 没有怀疑的记录数 | 1.26亿 |
| 暴露人数 | 63-1.26亿(取决于重复) |
| 日期范围/时间线 | 数据于 2021 年 4 月 10 日上传。在此之前其来源日期未知。 |
| 地理范围 | 美国 |
| 暴露的数据类型 | 个人身份信息数据[PII] |
| 潜在影响 | 欺诈罪; 身份盗窃;网络钓鱼 |
| 数据存储格式 | 弹性搜索 |
公司简介
OneMoreLead 为企业客户提供超过 4000 万条业务线索,以及大量相关服务和软件工具。
貌似是个新的小公司,2020年4月开始的,网上关于OneMoreLead的资料很少,我们发现数据库的时候网站还没建好。
例如,“客户”部分仍然是空白的,并且注册按钮不起作用。
发现者和所有者反应的时间表
- 发现日期: 2021 年 4 月 16 日
- 联系供应商的日期: 2021 年 4 月 20 日
- 与 AWS 联系的日期: 2021 年 4 月 20 日
- 回复日期: 2021 年 4 月 20 日
- 行动日期: 2021 年 4 月 21 日
有时,数据泄露的程度和数据的所有者是显而易见的,问题很快就会得到解决。但这些时候很少见。相反,我们通常需要进行数天的调查,然后才能了解什么是利害关系或谁在泄露数据。
了解漏洞及其潜在影响需要仔细的关注和时间。我们努力发布准确可靠的报告,确保每个阅读报告的人都了解其严重性。
此外,一些受影响的各方否认事实,无视我们的研究或淡化其影响。因此,我们需要彻底并确保我们发现的一切都是正确和准确的。
在这种情况下,vpnMentor 的网络安全团队在日常研究项目中发现了该数据库。我们很快将 OneMoreLead 确定为数据库的所有者。然而,这些数据的来源,或者它是如何落到 OneMoreLeads 手中的,仍然未知。
该公司是新的,没有已知的客户,且存在未完成的网站。因此,自 2020年开业以来,他们不太可能从 1.26 亿人那里收集数据——除非 OneMoreLead 背后的人以前从事过类似的业务。
此外,暴露的数据与 2020 年最初与德国 B2B 营销公司 Leadhunter 相关的泄漏有着惊人的相似之处。(Leadhunter 当时否认对泄漏负责,研究人员无法确认链接。)
根据我们的研究以及两家公司和数据泄露之间的相似性,我们怀疑发生了以下情况之一:
- 两家公司都从同一实体获取数据——可能是另一家向营销公司销售线索的企业。但是由于已经过去一年多了,OneMoreLead 添加了更多潜在客户并删除了一些现有的潜在客户(这可以解释两个数据库之间的差异)。
- 两家公司中的一家(OneMoreLead 和 Leadhunter)将数据卖给了另一家,但很难知道哪家是卖家,反之亦然。
- OneMoreLead 背后的人发现了 Leadhunter 泄漏,保持沉默,并在 2020 年泄漏安全之前下载了数据(或其中的一部分)以创建自己的公司。
- OneMoreLead 是最初的 Leadhunter 泄密事件的幕后黑手,并决定将这些数据作为新公司的一部分进行货币化。
最终,我们可能永远不会知道 OneMoreLead 如何在向世界公开之前收集如此大量的数据。但是,该公司有责任关闭漏洞并确保它不会再次泄露。
考虑到这一点,我们联系了一位参与 OneMoreLead 的人,并介绍了我们的发现。我们还联系了 AWS,因为该数据库存储在其云平台上。他们在同一天回复,第二天服务器就得到了保护。
数据库中的条目示例
OneMoreLead 使用暴露的数据库来存储属于至少 6300 万人的个人和专业信息。此信息很可能会提供给注册其 B2B 营销服务的客户或客户。
根据我们的调查,该公司似乎在 2021 年 4 月 10 日上传了数据,该数据在一天后出现在连接到互联网的设备的搜索引擎 Shodan 上。
该数据库包含两种不同类型的“潜在客户”:
- 名为“personaldb”的索引包含的记录由列出的每个人的基本个人身份信息数据组成。(63600000)
- 名为“businessdb”的索引包含有关其工作和雇主的类似数据和信息。(63700000)
我们在两个潜在客户索引中查看的私人个人用户数据包括:
- 全名
- 职称
- 个人电子邮件地址
- 家庭住址和电话号码
- 家庭设备 IP 地址
- 工作地址和电话号码
- 工作电子邮件地址
- 雇主
鉴于数据量大,来源不明,可能存在一些不准确之处。例如,一个人可能不再在索引中列出的企业工作。然而,这并不能消除泄漏的严重性。黑客仍然可以在广泛的犯罪活动中使用这些数据。
也可以将条目与个人的在线状态进行交叉引用,例如 LinkedIn 个人资料。
以下屏幕截图显示了泄漏中暴露的各种形式的数据:
该数据库还包含另一个小得多的索引,只有 9 条记录。
我们认为这些记录是 OneMoreLead 后端的访问凭证,很可能属于 OneMoreLead 的客户。但是,由于该公司没有公开列出其客户或客户,并且测试登录凭据会违反我们的道德规范,因此我们无法确认这一点。
我们还怀疑暴露的客户属于以某种方式连接到 OneMoreLead 的业务实体,并且他们都由同一组人管理。
数据泄露影响
由于不保护这个数据库,OneMoreLead 使至少 6300 万人暴露在欺诈、身份盗用以及更糟糕的情况下。
该数据库包含了数百万人的详细个人信息——从他们的职位到他们的家庭 IP 地址。网络犯罪分子可以轻松地利用这些信息对所有暴露的人进行财务欺诈。
同时,他们可以利用这些信息来构建有效的网络钓鱼活动,冒充某人的雇主、政府和其他受信任的组织来诱骗目标进入以下任何一项:
- 共享可用于身份盗用和金融欺诈的其他数据(即社会安全号码、税务记录)。
- 提供信用卡信息或有关银行帐户的详细信息。
- 单击嵌入恶意软件的链接,例如勒索软件、间谍软件或其他形式的病毒。
鉴于暴露的人数众多,网络犯罪分子只需要成功欺诈或攻击一小部分即可成功。
更糟糕的是,我们在数据库中查看了 many.gov 和纽约警察局的电子邮件地址。考虑到完整列表至少包含 6300 万人,可能还有更多敏感的电子邮件地址。但是,我们只查看了一个小样本。
来自政府和警察成员的私人数据是犯罪黑客的金矿——尤其是在外国政府支持他们的情况下。通过攻击美国政府中的个人,黑客可以渗透到其他安全的高级政府机构。当这种情况发生时,可能会导致重大的国家安全漏洞和对政府信任的毁灭性丧失。
这种情况在过去几年中发生了很多次,而且问题越来越严重。
对于OneMoreLead
由于这次数据泄露的严重性、规模和奇怪的情况,OneMoreLead 可能会面临有关其能力和可信度的严重问题。
潜在客户可能不愿意与一家新公司合作,该公司甚至在网站完成之前就已经让数百万人遭受欺诈和网络攻击。
该公司也可能因此面临法律诉讼。许多暴露的人是加利福尼亚州居民,这意味着他们受到该州 CCPA 数据隐私法的保护。如果加利福尼亚政府或任何其他政府实体要追究此案,它可能会削弱 OneMoreLead。
对于 OneMoreLead 客户
如果我们发现的访问凭证确实属于该公司的客户,他们也很容易通过 OneMoreLead 的平台遭受帐户接管和欺诈。黑客可以访问他们的帐户并窃取与其业务和客户有关的信息。
专家建议
如果 OneMoreLead 采取了一些基本的安全措施来保护数据库,就可以轻松避免这种泄漏。这些包括但不限于:
- 保护其服务器。
- 实施适当的访问规则。
- 永远不要让不需要身份验证的系统对互联网开放。
任何公司都可以复制相同的步骤,无论规模大小。
有关如何保护您的业务的更深入指南,请查看我们的指南,以保护您的网站和在线数据库免受黑客攻击。
对于 OneMoreLead 客户
如果您是 OneMoreLead 的客户,并且担心此违规行为可能对您造成的影响,请直接与该公司联系以确定它正在采取哪些措施来保护您的数据。
要了解一般的数据漏洞,请阅读我们的在线隐私完整指南。
它向您展示了网络犯罪分子瞄准互联网用户的多种方式,以及您可以采取的确保安全的步骤。
我们如何以及为何发现漏洞
vpnMentor 研究团队发现暴露的数据库是一个庞大的网络地图项目的一部分。我们的研究人员使用大型网络扫描仪来搜索包含不应公开信息的不安全数据存储。然后他们检查每个数据存储是否有任何数据泄露。
我们的团队能够访问该数据库,因为它完全不安全且未加密。
OneMoreLead 使用的是 Elasticsearch 数据库,该数据库通常不是为 URL 使用而设计的。但是,我们能够通过浏览器访问它并随时操纵 URL 搜索条件以从单个索引公开模式。
每当我们发现数据泄露时,我们都会使用专家技术来验证数据库的所有者,通常是商业企业。
作为道德黑客,当我们发现他们的在线安全漏洞时,我们有义务通知他们。我们联系了 OneMoreLead,让他们了解漏洞并建议保护他们系统的方法。
这些道德规范也意味着我们对公众负有责任。OneMoreLead 用户必须意识到暴露了大量敏感数据的数据泄露。
这个网络地图项目的目的是帮助所有用户提高互联网的安全性。
我们绝不会出售、存储或公开我们在安全研究期间遇到的任何信息。
插一句
[雨苁:此类数据只要在互联网上暴露,几小时内黑客就可以获取到.
不信的人可以看此文章里面的实验:http://www.ddosi.org/3500w-leak/
一个数据库在互联网上平均一天有18次的攻击.测试人员切勿粗心大意]