来自特拉华州威尔明顿的 BuyGoods.com 拥有遍布 17 个国家/地区的 300 万消费者用户群,泄露了惊人的 198.3 GB 错误配置的数据库包含超过 260,000 条记录,包括客户使用未编辑信用卡的自拍照。
网络安全研究员耶利米·福勒(Jeremiah Fowler)最近发现了一个配置错误的云数据库,该数据库使大量敏感数据暴露在外。受影响的数据库包含归因于 BuyGoods.com 客户的记录,业内也将其公认为 Softwareproject。
仅供参考,用他们自己的话来说,“BuyGoods.com 是一个面向产品所有者、营销人员和在线购物者的全球电子商务市场和业务管理平台。来自特拉华州威尔明顿的 BuyGoods.com 拥有遍布 17 个国家/地区的 300 万消费者用户群。
泄露了哪些数据?
暴露的数据库总大小为 198.3 GB,缺乏任何形式的安全身份验证,无法向公众公开访问。在这个未受保护的数据库中,有超过 260,000 条记录,其中包含全面的信息。这包括有关会员付款、退款交易、发票、会计记录和各种其他形式的数据的详细信息。
更糟糕的是,暴露的服务器还暴露了客户和附属公司的个人记录,其中包含高度敏感的个人身份信息(PII)和了解您的客户(KYC)数据。
这些暴露的信息包括客户的自拍照以及他们的个人身份证、执照、护照,甚至是未经编辑的信用卡详细信息。这种隐私泄露的全球影响可能是巨大的,因为这些记录跨越了来自世界各地的个人。
在WebsitePlanet的一篇博客文章中,Fowler透露,他立即通知了 BuyGoods.com 有关安全问题的信息。尽管该公司迅速承认并保证数据已得到保护,但福勒发现,在他负责任的披露几天后,服务器仍然暴露在外。
“我立即发送了负责任的披露通知,并通过电子邮件收到了以下消息:“感谢您让我们知道此事。目录列表的访问问题现已解决。我们正在将所有 PII 数据从这些公共存储桶中移走”。尽管努力解决这个问题,但似乎数据库在受到限制之前仍然可以访问一段时间,“福勒解释说。
潜在威胁
携带 PII 或 KYC 数据的错误配置服务器对未被怀疑的客户的在线隐私和物理安全构成巨大威胁。有些人可能称之为简单的数据泄漏可能会成为一场噩梦。
如果落入坏人之手,这些敏感信息可能会助长身份盗用,导致金融欺诈和未经授权访问个人账户。此外,犯罪分子可能会利用被盗数据进行恶意活动,创建虚假个人资料,并危及安全和公共安全。
这种违规行为的后果可能会导致广泛的混乱,损害个人对数字系统的信任以及对其最私人信息的保护。
保护配置错误的数据库
管理员可以采取多种措施来解决数据库或服务器配置错误的问题。以下是在数据库安全和保护中至关重要的一些关键步骤:
-
定期审计和评估:
定期对数据库配置进行审计和评估,以识别漏洞和错误配置。这种主动方法有助于在问题被恶意行为者利用之前检测问题。 -
实施最小权限原则:
将用户访问权限限制为其角色所需的最低权限。应用最小权限原则可限制对敏感数据的未经授权的访问,从而减少安全漏洞的潜在影响。
-
使用强身份验证和访问控制:
强制实施强身份验证机制(如多因素身份验证)以增强访问凭据的安全性。此外,实施强大的访问控制,以确保只有经过授权的人员才能对数据库配置进行更改。
-
加密敏感数据:
加密静态和传输中的敏感数据。这增加了一层额外的保护,使未经授权的用户更难提取有意义的信息,即使他们获得了对数据库的访问权限。
-
定期更新和修补系统:
使用最新的安全补丁使数据库系统和服务器软件保持最新状态。定期更新有助于解决已知漏洞并增强系统的整体安全态势。
-
监控和记录活动:
实施全面的监控和日志记录机制,以及时检测异常活动或未经授权的访问。监控工具可以帮助管理员识别潜在的安全事件并迅速做出响应。
-
培训人员:
培训和教育管理员和其他人员,让他们了解正确配置实践的重要性以及与错误配置相关的潜在风险。提高意识有助于组织内的安全文化。
-
自动化配置管理:
利用自动化配置管理工具确保服务器配置的一致性和准确性。自动化降低了人为错误的可能性,并有助于维护安全和标准化的环境。
-
事件响应计划:
制定并定期更新事件响应计划,以在发生安全事件时指导管理员。该计划应包括调查、遏制、根除和从错误配置相关的违规行为中恢复的步骤。
-
聘请外部安全审计员:
定期聘请外部安全专家进行全面的评估和渗透测试。外部审计提供了一个公正的视角,可以发现内部可能被忽视的漏洞。
原文始发于微信公众号(HackSee):全球零售商 BuyGoods.com 泄露 198GB 内部和用户 PII、KYC 数据
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论