一個不受保護的資料庫致使2億條美國公民的記錄遭洩露

原文連結：  

原文出處：
作者：Kelly Sheridan

研究人員尚未確定誰擁有該資料庫，而這是本週披露的幾起重大資訊洩露事件之一。

研究人員近期發現了一個不受保護的資料庫，其中包含800GB的個人使用者資訊，以及2億條詳細的使用者記錄。 3月3日，該資料庫已被整體清除。

立陶宛研究組織CyberNews的研究人員稱，資料庫中的使用者記錄似乎是美國使用者的資料。這些資料包含個人的全名和職務、電子郵件地址、電話號碼、生日、信用等級、房屋和抵押房地產地址、家庭成員、抵押和繳稅記錄，以及有關個人利益和投資的資訊，甚至還有政黨、慈善和宗教捐款。

CyberNews團隊表示：“遭洩露的資料如此龐大，我們感到震驚：個人、家庭成員和房地產等資產資料的組合絕對是網路犯罪分子的金礦。”

研究人員在報告中提到，這個“主資料夾”中的許多資料似乎來源於美國人口普查局。當他們於今年一月下旬在Shodan.io上找到該資料庫時，他們曾以潛在所有者的身份聯絡了美國人口普查局，但沒有得到任何回應。研究人員說，他們觀察了該資料庫幾個月，但實際上該資料庫可能已洩露了更長時間。

研究人員還表示，找到該資料庫“並不那麼困難”，但是攻擊者將需要一些基本的技術知識來理解他們所尋找的東西。儘管可能有人會誤打誤撞地訪問了該資料庫，但發生這種情況的機率很小。

除了不安全資料的主資料夾外，該資料庫還包含另外兩個資料夾，這些資料夾似乎與儲存在主資料夾中的個人記錄無關。這些資料夾儲存著位於美國的消防部門的緊急電話記錄，以及以前屬於共享單車計劃的約74個腳踏車站的列表。這些共享單車站歸Lyft所有。

儘管這兩個較小的資料夾沒有儲存個人資料，但消防部門的呼叫日誌中確實有日期、時間、位置以及其他可追溯到2010年的原始資料。研究人員表示，“出現這兩個包含共享單車站列表和消防部門服務呼叫記錄的資料夾是最讓我們感到困惑的。”他們推測，這兩個資料夾中的資料可能已被盜取或被多方同時使用，但他們無法確認這一點。

該團隊說：“資料的結構使我們相信該資料庫屬於某個資料營銷公司，或者信貸、房地產公司。” 比如，類別和條目是以類似於資料營銷人員使用的詞典程式碼來標記的。他們解釋說，這些程式碼本身專門為美國人口普查局分類所用。

如果可以訪問該資料庫中的資訊，則對於網路釣魚者、騙子和其他網路犯罪分子來說是“極其有用的”。他們可以利用其中的個人詳細資訊來發起復雜的網路釣魚行為、垃圾郵件攻擊和社會工程學實驗。

這還不是本週發現的唯一一個因錯誤配置而洩露敏感資訊的大型資料庫。就在昨天（3月19日），一個錯誤配置的Elasticsearch資料庫暴露了2012年至2019年之間與資料洩露相關的超過50億條記錄。一家英國研究公司收集了有關資料洩露的詳細資訊，包括域、來源、電子郵件地址和密碼。

本週早些時候，vpnMentor研究人員發現了一個未受保護的AWS S3儲存桶。該儲存桶儲存了425GB的資料，相當於約50萬個與移動應用程式MCA Wizard相關的檔案，而該應用程式正是Merchant Cash Advance的工具。這些檔案中的資料包括信用報告、銀行對賬單、合同、法律文件、採購訂單、納稅申報單和社會保障資料。