又一宗重大個資洩漏案件發生!總部位於美國佛羅里達州棕櫚海岸的市場行銷公司 Exactis,近日爆出伺服器擁有重大漏洞,導致將 3.4 億筆,約 2TB 的用戶隱私資料,在未加密的狀態下,公開到網際網路上,而這些資料包含了上億位美國用戶以及數百萬間企業的個人訊息。
然而高達 3.4 億筆的個人資料之所以會洩漏到公開網路上,並不是因為駭客或其他惡意攻擊,純粹是因為 Exactis 儲存資料的伺服器防火牆並未進行加密,導致隱私資訊自動散布到網路上,任何人都可以透過關鍵字搜尋的方式,輕鬆取得他人個資。
雖然這些意外洩漏的資訊,並不包含信用卡及社會安全碼等關鍵的金融相關訊息,但「深度」卻超乎想像。洩漏出來的資料包括電話號碼、居住住址、電子郵件地址及其他「高度個人化」的項目,例如用戶興趣、家庭成員數量、年齡、性別、是否飼養寵物,甚至是有沒有抽菸的習慣等,詳盡到令人害怕。
只不過,缺乏財務訊息和社會安全碼的隱私資料,也並非是毫無價值;這些深度的個人資料將有助犯罪者,透過社交工程的方式騙取用戶的信任,讓不知情的消費者因此洩漏更進一步的關鍵資訊。
位於紐約的資訊安全公司 Night Lion Security 創辦人 Troia 表示,看起來幾乎每個美國公民的個人化資訊,都被收集在了意外洩漏的資料庫中;當美國《連線》雜誌的網站編輯,要求 Troia 在資料庫中搜尋 10 個特定人員的名字時,他很快的就找到了其中的 6 個。Troia 驚訝的表示,雖然不知道這些數據來自哪裡,但這是他是目前見過個人隱私資訊收集得最完整的資料庫。
Troia 使用該公司開發的 Shodan 搜尋工具,簡單過濾了網路上 7000 多個 ElasticSearch 資料庫,接著很快的發現了 Exactis 未受到任何加密防火牆的保護的兩個資料庫。這兩個資料庫都包含著 3.4 億條不重複的紀錄,並可粗略分為 2.3 億條個人消費者記錄和 1.1 億條企業間的通聯記錄,數量十分龐大。
雖然目前還不清楚是否有任何惡意駭客透過洩漏的資料庫進行犯罪,但 Troia 已經與 Exactis 及FBI 聯繫,並隨後解決了這個未加密的漏洞,但 Exactis 卻沒有針對本次事件發表任何評論。
但對於 Exactis 而言,資料庫外洩並非是最大的麻煩;雖然美國的個資保護法不像歐盟《一般資料保護規範》(GDPR)那樣嚴格,但 Exactis 想要在未來繼續收集用戶資料,尤其是已經外洩的項目,很有可能會遭到禁止。
新聞來源:WIRED
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!