本文轉(zhuǎn)載自微信公眾號「祺印說信安」，作者何威風(fēng)。轉(zhuǎn)載本文請聯(lián)系祺印說信安公眾號。

據(jù)國外安全媒體報道，一家位于佛羅里達州杰克遜維爾的交通運輸行業(yè)商業(yè)信用報告機構(gòu)TransCredit 因配置錯誤致使50萬人財務(wù)數(shù)據(jù)泄露。

Website Planet 的 IT 安全研究人員發(fā)現(xiàn)了一個配置錯誤的數(shù)據(jù)庫，該數(shù)據(jù)庫為運輸行業(yè)商業(yè)信用報告機構(gòu) TransCredit 擁有。

據(jù) Website Planet 的 Jeremiah Fowler 稱，該數(shù)據(jù)庫包含客戶敏感財務(wù)和個人數(shù)據(jù)的寶庫，其中包括加拿大和美國的貨運和運輸公司。

暴露了哪些數(shù)據(jù)?

總共，錯誤配置的數(shù)據(jù)庫暴露了 822789 條記錄，其中 600000 條是客戶的信用記錄，涉及500000多人。

暴露的信息包括：

• 全名
• 稅號
• 電子郵件地址
• 付款歷史
• 銀行信息
• 社會安全號碼 (SSN)
• 內(nèi)部登錄 ID 和密碼
• EIN(雇主識別號碼)
• ……

沒有密碼保護的數(shù)據(jù)庫暴露

根據(jù) Website Plant 的博客文章，該事件糟糕的是數(shù)據(jù)庫在沒有任何密碼或安全認(rèn)證的情況下可以被公開訪問，這意味著任何知道如何查找錯誤配置數(shù)據(jù)庫的人都可以訪問這些數(shù)據(jù)。

此外，2020 年， 47%的在線 MongoDB 數(shù)據(jù)庫被勒索軟件團伙入侵。故數(shù)據(jù)庫面臨被勒索軟件團伙入侵的風(fēng)險。

對運輸公司來說真正的危險是欺詐和詐騙。數(shù)據(jù)庫包含足夠的信息來創(chuàng)建一系列高度針對性的欺詐或詐騙。掌握內(nèi)幕信息的犯罪分子可能很容易獲得信任，公司或個人在驗證稅號或其他數(shù)據(jù)時不會那么可疑。

時間段

雖然目前尚不清楚該數(shù)據(jù)庫究竟是何時在互聯(lián)網(wǎng)上暴露的，或者是否被第三方惡意訪問，但據(jù)研究人員透露他們在 2021 年 9 月 17 日發(fā)現(xiàn)了錯誤配置。然而，直到最近才對外分享該細(xì)節(jié)。據(jù)報道稱，TransCredit 在收到來自 Website Planet 的警報后不久就迅速響應(yīng)并保護了數(shù)據(jù)庫。

數(shù)據(jù)的重要性，在我們生活中占比越來越重，對于我們個人來說一條數(shù)據(jù)可能價值不是太高，不過在黑色或灰色產(chǎn)業(yè)鏈來說，我們的數(shù)據(jù)就變成他們生產(chǎn)的“原材料”，從不同維度都可以說“數(shù)據(jù)即財富”，保護數(shù)據(jù)就是保護我們的財富。同時，“數(shù)據(jù)即個體”，保護數(shù)據(jù)就是保護我們自身。