美國80多個城市的敏感資訊包括居民個人資料遭暴露

WizCase網路安全研究團隊發現一個重大漏洞，這個漏洞導致一些美國城市資料遭暴露，在這次暴露事件中，所有這些城市都使用同一個市政網路服務提供商。

這一網路犯罪行為損害了公民的地址、電話號碼、身份證、稅務檔案等。 由於敏感而獨特的文件數量眾多且型別多樣，因此很難估計此次洩露事件中暴露的人數。而且無需密碼或登入憑據即可訪問此資訊，且資料未加密。

事件經過

在資料洩露事故中，80多個美國城市似乎都在使用mapsonline.net這一產品。這是由一家名為PeopleGIS 的美國公司提供。這些城市的資料儲存在幾個錯誤配置的Amazon S3 儲存桶中，這些儲存桶與MapsOnline共享類似的命名約定。

PeopleGIS是一家位於馬薩諸塞州的公司，專門從事資訊管理軟體。馬薩諸塞州的許多城市以及康涅狄格州和新罕布什爾州等周邊州的一些城市使用他們的軟體和平臺來管理各種資料。

透過掃描顯示114個以相同模式命名的 Amazon Buckets，這揭示了與 PeopleGIS的聯絡。其中28個似乎配置正確(意味著它們不可訪問)，86個無需任何密碼或加密即可訪問。

這意味著有3個可能：

PeopleGIS 建立了儲存桶並將其移交給他們的客戶(所有市政當局)，其中一些人確保正確配置了這些儲存桶;

儲存桶是由PeopleGIS的不同員工建立和配置的，關於這些儲存桶的配置沒有明確的指導方針;

市政當局自己建立了儲存桶，使用PeopleGIS關於命名格式的指導方針，但沒有任何關於配置的指導方針。

哪些資料易受攻擊?

網路安全研究人員團隊發現了80多個錯誤配置的Amazon S3 儲存桶，其中包含與這些城市相關的資料，總計超過1000 GB的資料和超過160萬個檔案。 公開的檔案型別因市政當局而異。這種差異和涉及的市政當局數量意味著無法明確估計在這次違規中易受傷害的人數。

圖為：洩露檔案示例：房地產稅法案。

暴露的檔案型別包括營業執照、居住記錄(例如契約)、稅務資訊和政府工作申請人的簡歷。洩露中暴露的資訊包括(但不限於)：

電子郵件地址

實際地址

電話號碼

駕駛執照號碼

房產稅資訊

個人照片(駕駛執照上)

房源照片

建築和城市規劃

圖為：洩露檔案示例：緊急和危險化學品清單表格。

一些易受攻擊的文件已被編輯，但它們是使用標記等透明工具進行數字編輯的。這意味著找到它們的人可以在照片編輯器中更改文件的對比度級別並檢視編輯後的資訊。 這意味著即使是經過編輯的文件也可能在這次違規中受到攻擊。

圖：暴露檔案的一個例子：駕駛執照。

違規行為可能導致這些城市的公民大規模欺詐和盜竊。地方政府資料庫中包含的資料具有高度敏感性，從電話號碼到營業執照再到稅務記錄，極易被不良行為者利用。 這些資訊中的大部分應該只能由政府和公民訪問，這意味著有人可能透過冒充政府官員來欺騙個人。

有哪些風險以及如何保護自己免受詐騙?

圖為：公開檔案示例：財產登記表。

身份盜竊： 洩露中暴露的大量PII(個人身份資訊)和私人詳細資訊可能會讓壞人很容易偽裝成其他人並竊取他們的身份。 這種違規行為使身份盜用成為一種特別危險的風險，因為不良行為者獲得的資訊越多，他們就越有可能成功。

網路釣魚、欺詐和詐騙： 大量易受攻擊的財務和機密記錄可能會讓駭客冒充政府官員進行網路釣魚、欺詐或詐騙公民。

盜竊： 暴露的住宅資訊，如房屋計劃、契約和業主資訊，可以讓攻擊者深入瞭解他們的目標。他們還可以使用這次入侵中的資訊來尋找更容易上當人群，如老年人。

檔案操作： 這種風險取決於市政當局如何使用配置錯誤的儲存桶中的資料。如果檔案僅用於備份儲存，則幾乎沒有屬性值操縱的風險。但是，如果市政當局積極使用這些儲存桶中的資料，則可能會覆蓋檔案以操縱財產價值、個人稅務資訊和其他方法。

贖金： 攻擊者可以從儲存桶中下載檔案，然後將其擦除並將資料贖回城市。

以上僅代表幾個方面，網路犯罪分子不斷更新新的手段來利用網際網路上的任何易受攻擊的人。

資料安全建設任重道遠

頻繁發生的資料洩露事件提醒我們，隨著網際網路加快發展，包括政府在內的企業和個人，越來越多的資料儲存在網際網路上，這也意味著在發生網路攻擊時，這些資料面臨著危險。尤其隨著我國智慧城市的建設，物聯網和網際網路結合使用，一方面方便了社會治理和居民生活，但另一方面，不斷收集並流轉的大資料也給網路犯罪分子以可乘之機，一旦攻破 網路安全防禦，丟失損壞資料造成的後果難以預計。因此，在建設數字化轉型的同時，更要將安全放置在首位，提前做好網路安全佈局，對網路攻擊做到未雨綢繆。