无安全防护的Elasticsearch数据库泄露了800万的个人信息

一个不安全的数据库暴露了来自美国的800万人的个人信息,他们参与了在线调查,抽奖和免费产品样本的请求。这类网站为用户提供优惠信息,但是用户需要提供个人信息才能获得。安全研究院就发现了一个没有安全防护的Elasticsearch数据库,该数据库公开了向这些类型的网站提交条目的800万人的个人信息。

在审查由Jain提供给BleepingComputer的记录样本时,显示记录包含个人信息,例如他们的全名,地址,电子邮件地址,电话号码,出生日期,性别和IP地址。下面是一个编辑记录的例子。

示例编辑记录

每个记录中还包括提交者或页面,其中提交的信息来自。这些页面用于在线抽奖,免费样品请求和调查,如下所示。

查找数据库所有者

当发现不安全的数据库时,大多数研究人员所做的第一件事就是尝试确定谁拥有它。不幸的是,这样做并不容易。

在这个特殊情况下,Jain发现许多记录都有一个包含“userenroll.com”域的字段。访问此页面时,它显示它属于名为PathEvolution的在线营销公司。

起初很难与业主取得联系,因此Jain联系了托管数据库的亚马逊,提醒他们这是不安全的,并协助联系公司并确保其安全。

最终,我通过发现PathEvolution归一家名为Ifficient的母公司所有,追踪数据库的所有者,该公司将自己描述为“基于业绩的营销”公司。

负责人积极响应

当研究人员找到暴露的数据库时,在许多情况下他们从未收到回复,或者如果他们这样做,这些公司通常都不会感激。另一方面,Ifficient告诉我们,他们欣赏试图保护互联网上的数据的独立研究人员的工作。

“我们非常感谢有关我们数据安全的任何信息,包括此处共享的信息。我们非常重视我们拥有的所有信息的隐私和安全。我们对此事的调查以及通知可能受影响的个人的努力(如果任何),在收到这些信息后立即进行并且正在进行中。谢谢。“

Jain告诉BleepingComputer,在报告这些数据库时提供帮助而不是接受法律威胁总是很好。

“我首先要感谢组织采取这么快的行动来保护数据库。我还想在看到这么多类型的案例后,组织培训他们的员工有一个良好的基本安全卫生,以便这些问题不会继续发生。

参考地址:https://www.bleepingcomputer.com/news/security/unsecured-survey-database-exposes-info-of-8-million-people/
原文链接:http://toutiao.secjia.com/article/page?topid=111524

上一篇:暗网比我们想象的要小!

下一篇:2019 DAMS中国数据智能管理峰会重磅议题及嘉宾抢先看