美國市場行銷公司 Exactis 資料庫出現漏洞,洩漏高達 2TB 用戶隱私資料,估計 2.3 億人受到影響

美國市場行銷公司 Exactis 資料庫出現漏洞,洩漏高達 2TB 用戶隱私資料,估計 2.3 億人受到影響

又一宗重大個資洩漏案件發生!總部位於美國佛羅里達州棕櫚海岸的市場行銷公司 Exactis,近日爆出伺服器擁有重大漏洞,導致將 3.4 億筆,約 2TB 的用戶隱私資料,在未加密的狀態下,公開到網際網路上,而這些資料包含了上億位美國用戶以及數百萬間企業的個人訊息。

然而高達 3.4 億筆的個人資料之所以會洩漏到公開網路上,並不是因為駭客或其他惡意攻擊,純粹是因為 Exactis 儲存資料的伺服器防火牆並未進行加密,導致隱私資訊自動散布到網路上,任何人都可以透過關鍵字搜尋的方式,輕鬆取得他人個資。

美國市場行銷公司 Exactis 資料庫出現漏洞,洩漏高達 2TB 用戶隱私資料,估計 2.3 億人受到影響

雖然這些意外洩漏的資訊,並不包含信用卡及社會安全碼等關鍵的金融相關訊息,但「深度」卻超乎想像。洩漏出來的資料包括電話號碼、居住住址、電子郵件地址及其他「高度個人化」的項目,例如用戶興趣、家庭成員數量、年齡、性別、是否飼養寵物,甚至是有沒有抽菸的習慣等,詳盡到令人害怕。

只不過,缺乏財務訊息和社會安全碼的隱私資料,也並非是毫無價值;這些深度的個人資料將有助犯罪者,透過社交工程的方式騙取用戶的信任,讓不知情的消費者因此洩漏更進一步的關鍵資訊。

美國市場行銷公司 Exactis 資料庫出現漏洞,洩漏高達 2TB 用戶隱私資料,估計 2.3 億人受到影響

位於紐約的資訊安全公司 Night Lion Security 創辦人 Troia 表示,看起來幾乎每個美國公民的個人化資訊,都被收集在了意外洩漏的資料庫中;當美國《連線》雜誌的網站編輯,要求 Troia 在資料庫中搜尋 10 個特定人員的名字時,他很快的就找到了其中的 6 個。Troia 驚訝的表示,雖然不知道這些數據來自哪裡,但這是他是目前見過個人隱私資訊收集得最完整的資料庫。

Troia 使用該公司開發的 Shodan 搜尋工具,簡單過濾了網路上 7000 多個 ElasticSearch 資料庫,接著很快的發現了 Exactis 未受到任何加密防火牆的保護的兩個資料庫。這兩個資料庫都包含著 3.4 億條不重複的紀錄,並可粗略分為 2.3 億條個人消費者記錄和 1.1 億條企業間的通聯記錄,數量十分龐大。

美國市場行銷公司 Exactis 資料庫出現漏洞,洩漏高達 2TB 用戶隱私資料,估計 2.3 億人受到影響

雖然目前還不清楚是否有任何惡意駭客透過洩漏的資料庫進行犯罪,但 Troia 已經與 Exactis 及FBI 聯繫,並隨後解決了這個未加密的漏洞,但 Exactis 卻沒有針對本次事件發表任何評論。

但對於 Exactis 而言,資料庫外洩並非是最大的麻煩;雖然美國的個資保護法不像歐盟《一般資料保護規範》(GDPR)那樣嚴格,但 Exactis 想要在未來繼續收集用戶資料,尤其是已經外洩的項目,很有可能會遭到禁止。

新聞來源:WIRED

使用 Facebook 留言

發表回應

謹慎發言,尊重彼此。按此展開留言規則