SimpleTire数据库泄漏：超过280万条记录暴露

暴露的数据库包含惊人的2808697条记录，总计1TB的大小。2023年5月29日，安全研究员Jeremiah Fowler有一个令人担忧的发现：属于电子商务公司SimpleTire的一个不受密码保护的数据库，任何有互联网连接的人都可以访问该数据库。

尽管福勒努力以负责任的方式披露这个问题，但他没有收到公司的回应。令人震惊的是，该数据库在最初被发现后的三个多星期内仍然可以访问，这引发了人们对该公司数据安全实践的严重担忧。

值得注意的是，福勒就是最近报道了免费VPN服务SuperVPN如何在互联网上泄露多达3.6亿条用户记录的网络安全研究员。

SimpleTire成立于2010年，为客户提供一个方便的在线轮胎采购平台，旨在以具有竞争力的价格提供多种选择，简化轮胎购买流程。然而，与许多在线业务一样，它成为了重大数据泄露事件的受害者。

根据Flower分享的一份报告，暴露的数据库包含惊人的2808697条记录，总计1TB的巨大规模。在被泄露的记录中，有1189151份PDF格式的订单确认文件，其中包括高度敏感的个人身份信息(PII)，例如客户姓名、电话号码、实际地址和带有有效期的部分信用卡号码。

1. 电话号码
2. 客户名称
3. 实际地址
4. 部分信用卡号和有效期

此外，违规内容还包括对安装者信息、退货请求、批发数据以及销售和促销图片的引用，表明全面收集了有价值的机密数据。

数据库暴露的确切持续时间仍然未知，在此期间是否有恶意行为者访问过它也是如此。鉴于这一违规行为，强烈建议SimpleTire客户不要通过电话向任何自称是公司员工的人透露他们的信用卡详细信息。

令人担忧的是，即使不诉诸社会工程策略，获得受感染数据库访问权限的潜在威胁行为者也可能将泄露的信用卡详细信息与在线提供的大量被盗信用卡信息进行交叉引用。这引起了人们对金融欺诈和未经授权交易的可能性的担忧。

福勒强调了之前备受瞩目的信用卡泄露事件，包括家得宝、内曼马库斯和塔吉特，数百万信用卡号码和个人详细信息遭到泄露。他还提到今年早些时候暗网信用卡市场BidenCash发布了超过210万份被盗信用卡详细信息，这令人震惊。

SimpleTire的这次数据泄露清楚地提醒了企业优先考虑稳健的安全措施、保护客户数据和及时应对安全漏洞的重要性。

原文始发于微信公众号（郑州网络安全）：SimpleTire数据库泄漏：超过280万条记录暴露