标签: 数据泄露

赛门铁克:三分之二的酒店网站泄露客人预订详情并允许访问个人数据

赛门铁克首席安全研究人员Candid Wueest近日发文称,酒店网站可能会泄露客人的预订详情,允许其他人查看客人的个人数据,甚至取消他们的预订。在最近研究酒店网站上可能发生的劫持攻击时,Wueest偶然发现了一个可能泄露客人个人数据的问题。 Wueest测试了多个网站 – 包括54个国家/地区的1500多家酒店 – 以确定这个隐私问题的常见程度。我发现这些网站中有三分之二(67%)无意中将预订参考代码泄露给第三方网站,如广告客户和分析公司。他们都有隐私政策,但他们都没有明确提到这种行为。 虽然广告商跟踪用户的浏览习惯已经不是什么秘密,但在这种情况下,共享的信息可以允许这些第三方服务登录预订,查看个人详细信息,甚至完全取消预订。自从《通用数据保护条例》(GDPR)在欧洲生效以来已近一年了,但受此问题影响的许多酒店的遵守法规的速度非常缓慢。 Wueest测试过的网站从乡村的二星级酒店到海滩上的豪华五星级度假村酒店网站。一些预订系统值得称赞,因为它们只显示了数值和停留日期,并没有透露任何个人信息。但大多数网站泄露了个人数据,例如: 全名 电子邮件地址 邮寄地址 手机号码 信用卡、卡类型和到期日的最后四位数字 护照号 是什么导致这些泄漏? Wueest测试的网站中有超过一半(57%)向客户发送确认电子邮件,并提供直接访问其预订的链接。这是为了方便客户而提供的,只需点击链接即可直接进入预订,无需登录。 由于电子邮件需要静态链接,因此HTTP POST Web请求实际上不是一个选项,这意味着预订参考代码和电子邮件将作为URL本身的参数传递。就其本身而言,这不是问题。但是,许多网站直接在同一网站上加载其他内容,例如广告。这意味着直接访问可以直接与其他资源共享,也可以通过HTTP请求中的referrer字段间接共享。Wueest的测试表明,每次预订平均生成176个请求,但并非所有这些请求都包含预订详细信息。该数字表示可以非常广泛地共享预订数据。 为了演示,Wueest假设确认电子邮件包含以下格式的链接,该链接会自动让Wueest登录到他的预订概述中: HTTPS://booking.the-hotel.tld/retrieve.php prn=1234567&mail=john_smith@myMail.tld 加载的页面(在此示例中为retrieve.php网站)可以调用许多远程资源。为这些外部对象发出的一些Web请求将直接将完整URL(包括凭据)作为URL参数发送。 以下是分析请求的示例,其中包含完整的原始URL,包括作为参数的参数: https://www.google-analytics.com/collect?v=1&_v=j73&a=438338256&t=pageview&_s=1&dl=https%3A%2F%2Fbooking.the-hotel.tld%2Fretrieve.php%3Fprn%3D1234567%26mail% 3Djohn%5Fsmith%40myMail.tld&dt =你的%20booking&sr = 1920×1080&vp = 1061×969&je = 0&_u = SCEBgAAL~&jid = 1804692919&gjid = 1117313061&cid = 1111866200.1552848010&tid = UA-000000-2&_gid = 697872061.1552848010&gtm = 2wg3b2MMKSS89&z = 337564139 如上所述,相同的数据也在referrer字段中,在大多数情况下将由浏览器发送。这导致参考代码与30多个不同的服务提供商共享,包括众所周知的社交网络,搜索引擎以及广告和分析服务。此信息可能允许这些第三方服务登录预订,查看个人详细信息,甚至完全取消预订。 还有其他情况,预订数据也可能被泄露。有些网站会在预订过程中传递信息,而其他网站会在客户手动登录网站时泄露信息。其他人生成一个访问令牌,然后在URL而不是凭据中传递,这也不是好习惯。 在大多数情况下,Wueest发现即使预订被取消,预订数据仍然可见,从而为攻击者提供了窃取个人信息的机会。 酒店比较网站和预订引擎似乎更安全。从Wueest测试的五个服务中,两个泄露了凭据,一个发送了登录链接而没有加密。应该注意的是,Wueest发现了一些配置良好的网站,它们首先需要Digest认证,然后在设置cookie后重定向,确保数据不会泄露。 未加密的链接 可以认为,由于数据仅与网站信任的第三方提供商共享,因此该问题的隐私风险较低。然而,令人遗憾的是,Wueest发现超过四分之一(29%)的酒店网站没有加密包含该ID的电子邮件中发送的初始链接。因此,潜在的攻击者可以拦截点击电子邮件中的HTTP链接的客户的凭证,例如,查看或修改他或她的预订。这可能发生在公共热点,如机场或酒店,除非用户使用VPN软件保护连接。Wueest还观察到一个预订系统在连接被重定向到HTTPS之前,在预订过程中将数据泄露给服务器。 不幸的是,这种做法并不是酒店业独有的。通过URL参数或在referrer字段中无意中共享敏感信息在网站中很普遍。在过去的几年里,Wueest看到过多家航空公司、度假景点和其他网站的类似问题。其他研究人员在2019年2月报告了类似的问题,其中未加密的链接被用于多个航空公司服务提供商。 更多问题 Wueest还发现,多个网站允许强制执行预订参考以及枚举攻击。在许多情况下,预订参考代码只是从一个预订增加到下一个预订。这意味着,如果攻击者知道客户的电子邮件或姓氏,他们就可以猜出该客户的预订参考号并登录。强行预订号码是旅游行业的一个普遍问题,Wueest之前曾在博客中发表过这样的信息。 这样的攻击可能无法很好地扩展,但是当攻击者考虑到特定目标或目标位置已知时,它确实可以正常工作,例如会议酒店。对于某些网站,后端甚至不需要客户的电子邮件或姓名 – 所需要的只是有效的预订参考代码。Wueest发现了这些编码错误的多个例子,这使Wueest不仅可以访问大型连锁酒店的所有有效预订,还可以查看国际航空公司的每张有效机票。 一个预订引擎非常智能,可以为访客创建一个随机的PIN码,以便与预订参考号一起使用。不幸的是,登录没有绑定到访问的实际预订。因此,攻击者只需使用自己的有效凭据登录并仍可访问任何预订。Wueest没有看到任何证据表明后端有任何速率限制可以减缓此类攻击。 有什么风险? 许多人通过在社交媒体网络上发布照片来定期分享他们的旅行细节。这些人可能不太关心他们的隐私,实际上可能希望他们的关注者知道他们的行踪,但Wuees相当肯定如果他们到达他们的酒店并发现他们的预订已被取消后,他们会更加注意。攻击者可能会因为娱乐或个人报复而决定取消预订,但也可能损害酒店的声誉,作为勒索计划的一部分或作为竞争对手的破坏行为。 酒店业也存在相当多的数据泄露,以及数据配置不当的云数据的数据泄露。然后,这些信息可以在暗网上出售或用于进行身份欺诈。收集的数据集越完整,它就越有价值。 诈骗者还可以使用以这种方式收集的数据来发送令人信服的个性化垃圾邮件或执行其他社交工程攻击。提供个人信息可以提高勒索邮件的可信度,就像那些声称你被黑客攻击的邮件一样。 此外,有针对性的攻击团体也可能对商业专业人士和政府雇员的行程感兴趣。例如DarkHotel/Armyworm, OceanLotus/Destroyer, Swallowtail及Whitefly等APT团伙。这些群体对这一领域感兴趣的原因有很多,包括一般监视目的,跟踪目标的动作、识别随行人员,或者找出某人在特定地点停留多久。它还可以允许物理访问目标的位置。 解决问题 根据GDPR,欧盟个人的个人数据必须根据这些问题得到更好的保护。然而,受影响酒店对Wueest的调查结果的回应令人失望。 Wueest联系了受影响酒店的数据隐私官(DPO)并告知他们相关调查结果。令人惊讶的是,25%的DPO在六周内没有回复。一封电子邮件被退回,因为隐私政策中的电子邮件地址不再有效。在做出回应的人中,他们平均花了10天回应。做出回应的人主要确认收到他的询问,并承诺调查该问题并实施任何必要的变更。一些人认为,根本不是个人数据,而且必须与隐私政策中所述的广告公司共享数据。一些人承认他们仍在更新他们的系统以完全符合GDPR标准。其他使用外部服务进行预订系统的酒店开始担心服务提供商毕竟不符合GDPR标准。 预订站点应使用加密链接并确保没有凭据作为URL参数泄露。客户可以检查链接是否已加密,或者个人数据(如电子邮件地址)是否作为URL中的可见数据传递。他们还可以使用VPN服务来最大限度地减少他们在公共热点上的曝光率。不幸的是,对于普通的酒店客人来说,发现这样的泄漏可能不是一件容易的事,如果他们想要预订特定的酒店,他们可能没有多少选择。 尽管GDPR大约一年前在欧洲生效,但这个问题存在的事实表明,GDPR的实施还没有完全解决组织如何应对数据泄漏问题。到目前为止,已经报告了超过20万起GDPR投诉和数据泄露案件,用户的个人数据仍然存在风险。       (稿源:cnBeta,封面源自网络。)  

雅虎就数据泄露案达成和解协议:金额达 1.175 亿美元

据路透社报道,由于遭遇史上最大数据泄密事件,雅虎接受了一项修改后的1.175亿美元和解协议,与本案的数百万受害者达成和解。这项周二披露的集体诉讼和解是为了解决美国加州圣何塞地区法院法官高兰惠(Lucy Koh)之前的批评。她在1月28日驳回了之前的和解协议,此次和解协议仍然需要获得她的批准。 高兰惠表示,最初的和解协议“不够公平、充分和合理”,因为没有列出整体金额,也没有说明每个受害者具体有望获得多少赔偿。她还表示,本案的法律费用似乎过高。 这起案件在2013至2016年间导致大约30亿帐号受到影响,而雅虎则被控在披露此事的过程中反应过慢。雅虎目前已经成为Verizon电信旗下的一家公司。 这份新的和解协议包含至少5500万美元支付给受害者的实付费用和其它成本,2400万美元的两年信用监控费用,和高达3000万美元的法律费用,另有最多850万美元的其他费用。 本案涵盖1.94亿美国人和以色列人,大约涉及8.96亿帐号。 本案原告律师在法庭文件中称,1.175亿美元是数据泄密案有史以来获得的最大赔偿。他尚未发表进一步评论。 Verizon也同意在2019至2022年间投入3.06亿美元信息安全费用,达到雅虎2013至2016年投入的5倍。该公司还承诺把雅虎在这一领域的人员数量增加到原先的4倍。 Verizon在声明中说:“这份和解协议证明了我们对安全的重大承诺。” 雅虎在2016年7月同意将其互联网业务作价48.3亿美元出售给Verizon。不久后才披露此次数据泄密事件,导致收购价格降至44.8亿美元。Verizon去年12月减记了雅虎的大量商誉价值。   (稿源:新浪科技,封面源自网络。)

Facebook 再爆数据丑闻 数百万用户数据被存储在 AWS 上

Facebook的用户数据再次在一些不该出现的地方出现。网络安全公司UpGuard的研究人员发现,大量Facebook用户信息被公开发布在亚马逊公司的云计算服务器上。这一发现表明,在剑桥分析公司(Cambridge Analytica)的丑闻曝光一年之后,Facebook在保护私人数据方面仍做得不够。 Facebook短线跳水转跌,此前一度涨超2%。 例如,墨西哥城的媒体公司Cultura Colectiva公开存储了5.4亿Facebook用户的记录,包括身份号码、评论和账户名称。周三,Facebook联系了亚马逊,之后该数据库被关闭。 另一个数据库是一个长期失效的应用程序的数据库,名为the Pool,它列出了22000人的姓名、密码和电子邮件地址。UpGuard不知道这些信息被泄露了多长时间,因为在该公司调查的过程中,数据库变得无法访问。 多年来,Facebook一直与第三方开发者免费共享这类信息,直到最近才开始采取行动。意外公共存储的问题可能比这两种情况更为广泛。UpGuard发现,有10万个开放的托管数据库用于存储各种类型的数据,其中一些数据库预计不会公开。 UpGuard网络风险研究主管克里斯-维克里(Chris Vickery)表示:“公众还没有意识到,这些高级系统管理员和开发人员,也就是这些数据的保管人,要么在冒险,要么在偷懒,要么在投机取巧。对大数据安全方面的关注不够。” 多年来,Facebook允许任何在其网站上开发应用程序的人获取使用该应用程序的用户及其朋友的信息。一旦数据脱离Facebook的掌控,开发者就可以对其为所欲为。 大约一年前,Facebook首席执行官马克-扎克伯格(Mark Zuckerberg)正准备就一个特别恶劣的例子向国会作证:一名开发商将数千万人的数据交给了政治咨询公司剑桥分析,这家公司曾帮助特朗普竞选总统。这一事件已导致全球政府展开调查,并威胁要对该公司进行进一步监管。 去年,Facebook开始对数千个应用程序进行审计,并暂停了数百个应用程序,直到它们能够确保自己没有对用户数据进行不当处理。Facebook现在为发现第三方应用程序问题的研究人员提供奖励。 Facebook发言人表示,公司的政策禁止将Facebook信息存储在公共数据库中。这位发言人说,一旦Facebook被告知这一问题,它就与亚马逊合作关闭了这些数据库,并补充说,Facebook致力于与其平台上的开发人员合作,保护人们的数据。 在总共146G的Cultura Colectiva数据集中,研究人员很难知道有多少Facebook用户受到了影响。UpGuard在关闭数据库时也遇到了困难。该公司花了数月时间向Cultura Colectiva和亚马逊发送电子邮件,提醒他们注意这个问题。直到Facebook联系了亚马逊,泄露才得以解决。Cultura Colectiva没有回应彭博的置评请求。 这个最新的例子表明,数据安全问题可能会被另一种趋势放大:许多公司已经从主要在自己的数据中心运营业务,转向由亚马逊、微软、Alphabet旗下谷歌等公司运营的云计算服务。 这些科技巨头通过让企业更容易地在远程服务器上运行应用程序和存储大量数据(从企业文档到员工信息),建立了数十亿美元的业务。 像Amazon Web Services的简单存储服务(Simple Storage Service)这样的程序,本质上是一个可上网的硬盘驱动器,它为客户提供了让哪部分的人看到这些数据的选择。有时,这些信息被设计成面向公众的,比如存储在公司网站上的照片或其他图像缓存。 而在其他时候,情况并非如此。近年来,存储在几项云服务上的信息——美国军方数据、报纸订阅用户和手机用户的个人信息——在不经意间被公开在网上共享,并被安全研究人员发现。 亚马逊在过去的两年里加强协议来防止客户暴露敏感材料,增加显眼的警告通知,让管理员可以更简单地关闭所有面向公众的项目,并免费提供以前是付费的附加组件,用于检查客户的帐户是否有暴露的数据。 亚马逊并不是唯一一家因为私人数据被错误公开而被抓的公司。但在销售租赁数据存储和计算能力方面,它有着广泛的领先优势,这让总部位于西雅图的这家公司的做法备受关注。亚马逊网络服务发言人拒绝置评。     (稿源:新浪科技,封面源自网络。)

丰田汽车服务器再遭黑客入侵 310 万名用户信息存忧

新浪科技讯 北京时间4月1日晚间消息,据美国科技媒体ZDNet报道,丰田汽车今日公布了第二起数据泄露事件,这也是该公司在过去五周内承认的第二起网络安全事件。 第一起安全事件发生在其澳大利亚子公司,而今日公布的第二起事件发生在丰田汽车的日本主办事处。 丰田汽车表示,黑客入侵了其IT系统,并访问了几家销售子公司的数据。这些子公司包括丰田东京销售控股公司、东京汽车、东京丰田、丰田东京卡罗拉、丰田东京销售网络、雷克萨斯Koishikawa Sales公司、Jamil Shoji(雷克萨斯Nerima)和丰田西东京卡罗拉。 该公司表示,黑客访问的服务器存储了多达310万名客户的销售信息。丰田汽车称,目前正在调查此事,以确定黑客是否泄露了他们可以访问的任何数据。 丰田汽车强调,客户的财务细节并未存储在被黑客攻击的服务器上。至于黑客可能访问了哪些类型的数据,丰田汽车并未披露。 丰田汽车发言人今日向媒体表示:“我们向所有使用丰田和雷克萨斯汽车的客户表示歉意。我们认真对待这一问题,并将在经销商和整个丰田集团中彻底实施信息安全措施。” 这已是该公司今年宣布的第二起网络安全事件。2月底,丰田汽车曾披露了一起类似的事件,影响其澳大利亚分公司。 而在丰田日本公布数据泄露事件的同时,丰田位于越南的子公司也发生类似事故,但目前没有细节公布,也不能确定其与丰田日本的事故是否有关。     (稿源:新浪科技,封面源自网络。)

安全预警 | 多个国内网站遭境外政治黑客攻击 首页被篡改

近日,创宇盾网站安全舆情监测平台发现多个国内网站被境外政治黑客攻击,黑客对目标网站的首页进行篡改,并在国外社交媒体平台展示攻击结果。据知道创宇安全专家分析,本次攻击可能是对前段时间某大数据视频监测平台数据大规模泄露事件的回应。 黑客在社交网站发帖的部分截图 安全提示 近期请重点关注来自中东、土耳其等地区的异常访问或攻击情况,做好安全防护措施,知道创宇404积极防御实验室将密切跟进该事件: 1. 对重点网站或业务系统进行安全排查; 2. 对已经存在问题的网站或业务系统及时进行必要的安全整改; 3. 接入创宇盾【www.365cyd.com】进行防护,实时检测网站安全状态,防止黑客入侵,保护网站安全;  

一家健康科技公司正在泄露大量医疗记录和处方

据外媒TechCrunch报道,一家健康科技公司在安全证书失效导致服务器没有密码后,每天泄露数千张医生药方、医疗记录和处方。这家名不见经传的软件公司来自加利福尼亚州的Meditab,自称是医院、医生办公室和药房领先的电子医疗记录软件制造商之一。该公司为医疗保健提供商处理电子传真,仍然是将患者文件共享给其他提供商和药房的主要方法。 但据发现数据的安全公司称,该传真服务器没有得到妥善保护。总部位于迪拜的网络安全公司SpiderSilk告诉TechCrunch遭泄露的服务器。自2018年3月创建以来,公开的传真服务器运行的Elasticsearch拥有超过600万条记录。 由于服务器没有密码,任何人都可以实时读取传输的传真 – 包括其内容。 根据对数据的简要回顾,传真包含大量个人身份信息和健康信息,包括医疗记录、医生药方、处方数量和数量,以及疾病信息等。传真还包括姓名、地址、出生日期,在某些情况下还包括社会安全号码和健康保险信息以及支付数据。 传真还包括有关儿童的个人数据和健康信息。没有数据被加密。   在传真服务器上找到两份泄露的文件。(图片来源:TechCrunch) 该服务器托管于MedPharm Services的子域,MedPharm Services是总部位于波多黎各的Meditab的一家分支机构,由Kalpesh Patel创立。MedPharm 作为一家独立的公司在圣胡安被分拆出来,以便为那些在岛上开展业务的人提供减税优惠。 TechCrunch通过联系几位从传真中确认其详细信息的患者来验证记录。 Patel表示,关于安全证书失效问题,该公司正在“调查问题以确定问题和解决方案”。“我们仍在审查我们的日志和记录,以查看任何潜在风险的范围,”该公司总法律顾问Angel Marrero在一封电子邮件中说。 我们询问该公司是否计划通知监管机构和客户。Marrero表示,该公司“将遵守现行联邦和州法律法规规定的任何及所有必要通知(如适用)。” Meditab和MedPharm都声称符合HIPAA,即《美国健康保险流通与责任法案》,该法案管理医疗服务提供者如何正确管理患者的数据安全。 泄露数据或违法的公司可能面临巨额罚款。 去年是“创纪录”罚款的一年 – 几次暴露和违规行为约为2500万美元,其中包括对德克萨斯大学无意中披露加密个人健康数据的430万美元罚款,费森尤斯的解决方案为350万美元。五个不同的违规行为。 美国卫生和公共服务部的发言人没有发表评论。     (稿源:新浪科技,封面源自网络。)

黑客在暗网上出售第四批数据 涉及 6 个网站 2600 万新账户

据外媒The Hacker News报道,曾三次兜售从32个热门网站上窃取的近8.9亿线上账户数据的黑客,目前正在暗网上出售第四批数据——来自其它6个网站的数千万条记录。 The Hacker News今日收到了一份来自巴基斯坦黑客“Gnosticplayers”的电邮,他声称自己已经攻击了数十个热门网站,而这些网站可能根本不知道已经遭到入侵。这名黑客上个月在暗网市场“Dream Market”上发布了三批数据,第一批是从16个网站上窃取的6.2亿账户详情,第二批是从8个网站上窃取的1.27亿条记录,第三批是从8个网站上窃取的9200万条记录。尽管在放出第三批数据时,黑客“Gnosticplayers”声称是最后一批盗取的数据库,但他还是放出了第四批从另外6个网站窃取的将近2700万新用户的数据。 第四批遭受入侵的网站如下: Youthmanual – 印度尼西亚大学和职业平台 – 112万个账户 GameSalad – 在线学习平台-150万个账户 Bukalapak – 在线购物网站 – 1300万个帐户 Lifebear – 日本在线笔记本 – 386万个帐户 EstanteVirtual – 在线书店 – 545万账户 Coubic – 预约安排软件 – 150万个账户 (图:知道创宇暗网空间搜索引擎“暗网雷达”搜索到的信息) 根据知道创宇暗网雷达搜索到该黑客售卖数据的页面显示,入侵的账户数据包括账户名、邮箱地址、IP地址、加密密码等信息。 黑客单独销售每个被攻击的数据库,总价值为1.2431比特币,大约是5000美元。目前还不清楚上述网站是否意识到数据泄露,The Hacker News已经联系这些受影响的公司并了解他们是否已经警告过用户关于这类安全事件。如果你是上述网站或服务的用户,请考虑更改这些网站上的密码以及其它网站中所使用的相同密码。       消息来源:The Hacker News,编译:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

云盘服务 Box 帐号配置不当 致数十家公司敏感数据泄露

新浪科技讯 北京时间3月12日上午消息,据美国科技媒体TechCrunch报道,网络安全公司Adversis发现,有数十家公司因为员工公开分享云盘服务Box企业存储帐号的文件链接,而无意间泄露了敏感的企业和客户数据。 虽然存储在Box企业帐号内的数据默认设置称私密状态,但用户可以与任何人分享文件或文件夹,因而只需要一个链接就可以公开接触这些文件。但Adversis表示,这些秘密链接还可以被其他人发现。使用脚本扫描和枚举的方式,Adversis发现有90多家公司的文件夹都可以公开访问。 Box自己的员工也未能幸免。 该公司表示,虽然多数数据都是合法公开的,而且该公司也向用户发送了建议,帮助其尽可能减少风险。但很多员工可能并不知道敏感数据被分享出去,甚至可以被其他人找到。 更糟糕的是,一些公共文件夹还可以被搜索引擎索引,导致信息更容易被发现。 Adversis表示,Box应该重新配置默认共享链接,限制为“公司内部的人员”,从而降低意外暴露敏感信息的概率。   (稿源:新浪科技,封面源自网络。)

Citrix 收 FBI 警告:6TB 至 10TB 敏感数据被窃

软件制造商Citrix近日承认公司已经沦为数据泄露的新受害者,导致国际黑客窃取了大量的数据。公司表示美国联邦调查局(FBI)已经就此事和公司取得联系,并警告称本次网络攻击行为极有可能是伊朗黑客组织所为,窃取了6TB至10TB的商业文件。 针对本次安全事件,Citrix已经采取积极措施。公司表示:“我们已经全面配合FBI开展调查,并且聘请了一家专业领先的网络安全公司提供协助,巩固我们的内部网络。”随后公司补充道Citrix的任何产品或者服务没有任何迹象表明它们的安全受到了损害,但也承认并不清楚有多少或者哪些文件被访问过。 根据披露的细节显示,黑客使用了一种名为“password spraying”的策略,他们利用弱密码获取有限的访问权限,然后努力绕过其他安全系统。在3月6日被FBI通知之前,网络安全公司Resecurity表示,它已于12月28日联系该公司。Resecurity总裁查尔斯·尤(Charles Yoo)表示,有证据表明黑客大约在10年前首次攻击Citrix的网络,并且此后一直处于等待状态。公司认为在最近的两次袭击中,有6-10TB的数据被盗,重点是与FBI,NASA和航空航天业以及沙特阿拉伯国有石油公司有关的文件。 虽然Citrix表示它正在努力控制这一事件并确保其产品和服务保持安全,但真正的问题是,作为政府承包商,该公司拥有大量敏感数据,现在就怕这些数据已经被访问。   (稿源:cnBeta,封面源自网络。)

沙特智能电话本应用 Dalil 被爆严重漏洞:500 万以上用户信息被泄露

Dalil是一款类似于Truecaller的智能电话本应用程序,但仅限于沙特和其他阿拉伯地区用户。由于该应用所使用的MongoDB数据库可以在不输入密码的情况下在线访问,导致用户数据持续泄露一周时间。该漏洞由安全研究人员Ran Locar和Noam Rotem发现,在数据库中包含了这款APP的所有数据,从用户个人详细信息到活动日志。 外媒ZDNet对样本进行审查之后,发现该数据库中包括以下信息 ● 用户手机号码 ● 应用注册数据(完整姓名、电子邮件地址、Viber账号、性别等等) ● 设备信息(生产日期和型号、序列号、IMEI、MAC地址、SIM号码、系统版本等等) ● 电信运营商细节 ● GPS坐标(不适用于所有用户) ● 个人通话详情和号码搜索 基于与每个条目相关联的国家/地区代码,数据库中包含的大多数数据属于沙特用户,此外还有少部分用户来自埃及,阿联酋,欧洲甚至一些以色列/巴勒斯坦人。显然这些数据非常的敏感,甚至可以通过GPS坐标数据进行跟踪。 数据库仍然暴露大约585.7GB的信息。 Locar说每天都会添加新记录,这意味着这是应用程序的生产服务器,而不是废弃的测试系统或冗余备份。研究人员告诉ZDNet,仅在上个月就已经注册了大约208,000个新的独特电话号码和4400万个应用事件根据Play商城显示的APP信息,Dalil的下载次数已经超过500万。     (稿源:cnBeta,封面源自网络。)