加州 IT 公司 DNA MICRO 泄露私人手机数据

Cybernews 研究团队发现，总部位于加州的 IT 公司 DNA Micro 由于系统配置错误，泄露了超过 820,000 名客户的敏感数据。

受数据泄露影响最大的受害者是那些使用 DNA Micro 子公司 InstaProtek 服务的用户，该公司提供屏幕保修服务。其他受到泄露影响的公司包括屏幕保护膜和手机壳制造商，例如 Liquipel 和 Otterbox，它们使用了保修服务。

这些公司以“你损坏它，我们修复它”的保证来销售他们的产品，并负责更换设备的屏幕，以防在使用其产品时发生损坏。DNA Micro 收集客户数据并将其存储在其系统上以管理保修服务。

不幸的是，它让数据（其中包括有关设备及其所有者的私人信息）向公众开放。Cybernews的调查显示，这种情况至少持续了6个月。

泄露的私人数据包括：

• 全名
• 地址
• 电话号码
• 电子邮件地址
• 保修索赔状态
• 手机型号
• 购买日期
• 国际移动设备识别码 (IMEI) 号码
• 购买该商品的商店

泄漏是危险的，因为威胁行为者可能会攻击单个设备并破坏其服务。泄露的私人数据可用于发起网络钓鱼活动并对公司客户构成威胁，可能使他们面临“人肉搜索”和“打击”的风险。这尤其令人担忧，因为家庭住址等敏感信息也被暴露。

该公司已获悉泄漏事件，并已修复该问题。Cybernews 联系 DNA Micro 寻求官方评论，但尚未收到他们的回复。

受泄密影响的公司：

• Instaprotek

• Otterbox

• Liquipel

• Health and Safety

• LJP Construction services

• AMP

• 23point5

• Intoto

打开 Kibana 实例是罪魁祸首

8 月 16 日，研究团队发现了三个开放的 Kibana 实例，其中包含属于 DNA Micro 的敏感数据。最大的可公开访问的数据存储有 81GB。

Kibana 是 ElasticSearch（开源搜索和分析引擎）的仪表板界面。ElasticSearch 实例存储可由 ElasticSearch 和 Kibana 访问和搜索的数据。

这些工具设计用于本地或专用网络。一旦实例暴露在互联网上（无需身份验证的保护），任何人都可以访问它。这包括威胁行为者，他们可以轻松利用泄露的数据。

攻击可能会造成中断

恶意行为者可以使用各种攻击媒介来利用泄露的数据。IMEI 号码以及个人身份数据 (PII) 的暴露尤其危险。IMEI 是分配给每个移动设备的唯一编号，用于识别移动网络上的设备。

泄露的 IMEI 号码落入威胁行为者手中可能会造成重大损失。攻击者可以使用泄露的数据替换被盗设备的 IMEI 号码。如果发生这种情况，可能会导致设备的移动服务中断。

可能想要造成损害的威胁行为者还可以联系手机运营商，报告据称被盗的设备，以阻止其连接到该运营商的移动网络并导致手机的手机服务无法使用。

此次泄露还增加了恶意软件攻击的风险，因为有关手机型号的暴露信息可能会被威胁行为者利用。它使他们能够粗略地识别设备的年龄、支持的最新操作系统版本以及默认安装的软件。

另一条被泄露的敏感信息包括客户的电话号码。攻击者可以利用客户的号码发送垃圾邮件并进行网络钓鱼活动。还有 SIM 卡交换的危险，在极少数情况下，电话号码可用于跟踪用户的位置。不要忘记，电话号码是获取有关所有者的在线信息的门户，因为可以轻松找到包含电话号码的社交媒体资料。

原文来自:securityaffairs.com