网络安全研究人员发现了涉及英国和爱尔兰近 30 万名出租车乘客的重大数据泄露事件。
Jeremiah Fowler 与 vpnMentor 合作,发现了一个不受密码保护的数据库,其中包含姓名、电话号码和电子邮件地址等个人详细信息。这些记录属于都柏林的调度和车队管理技术提供商 iCabbi,很容易受到潜在的利用。
暴露的数据库包含 22,745 条记录和 .csv 文档,其中包含客户姓名、电子邮件、电话号码和用户 ID。泄露的数据包括来自各个提供商和私人域的电子邮件地址,包括:117,231 Gmail; 65,060 热邮件; 17,588 雅虎; 18,099 个 iCloud; 12,798 展望; 7,484 直播;和别的。
值得注意的是,来自 BBC、NIH、英国财政部和司法部等媒体和政府机构的电子邮件地址以及大学电子邮件地址也被曝光。
KnowBe4首席安全意识倡导者 Javvad Malik 表示:“姓名、电子邮件地址、电话号码和用户 ID 的暴露打开了潜在安全问题的潘多拉魔盒,从身份盗窃到有针对性的网络钓鱼攻击。”
“从国会议员到高级政策顾问和欧盟大使等知名人士的加入增加了风险,为更复杂的社会工程和间谍活动引入了可能的途径。”
经过进一步调查,福勒确定该数据库充当应用程序使用的各种文档的存储库。虽然只有某些文件可供公开访问,但网络犯罪分子利用这些知识进行有针对性的攻击的潜在风险仍然令人担忧。
Fowler 立即将该问题通知了 iCabbi。该公司做出了透明的回应,承认了错误并迅速删除了曝光的记录。
CyberSmart网络安全顾问 Adam Pilton 表示:“看到 iCabbi 对这份报告反应如此之好,令人耳目一新。”
“感谢研究人员,解释发生的事情,并建议他们联系客户,让他们知道,这一切都在一天之内完成。这是应该发生的事情,但我们经常听到研究人员被忽视或给出谨慎的回应。”
与此同时,comforte AG的网络安全专家 Erfan Shadabi强调,最近发生的事件(例如 iCabbi 出租车软件中发现的事件)凸显了组织系统内的漏洞和错误配置所带来的巨大风险。
Shadabi 警告说:“组织需要采用以数据为中心的安全方法,例如标记化,以有效保护敏感信息。” “通过实施强有力的数据保护措施,组织可以确保即使出现技术问题,其数据的完整性和机密性也保持不变。”
文章原文链接:https://www.anquanke.com/post/id/295581
