WizCase網絡安全研究團隊發現一個重大漏洞，這個漏洞導致一些美國城市數據遭暴露，在這次暴露事件中，所有這些城市都使用同一個市政網絡服務提供商。

這一網絡犯罪行為損害了公民的地址、電話號碼、身份信息、稅務文件等。 由于敏感而獨特的文檔數量眾多且類型多樣，因此很難估計此次泄露事件中暴露的人數。而且無需密碼或登錄憑據即可訪問此信息，且數據未加密。

[[414100]]

事件經過

在數據泄露事故中，80多個美國城市似乎都在使用mapsonline.net這一產品。這是由一家名為PeopleGIS 的美國公司提供。這些城市的數據存儲在幾個錯誤配置的Amazon S3 存儲桶中，這些存儲桶與MapsOnline共享類似的命名約定。

PeopleGIS是一家位于馬薩諸塞州的公司，專門從事信息管理軟件。馬薩諸塞州的許多城市以及康涅狄格州和新罕布什爾州等周邊州的一些城市使用他們的軟件和平臺來管理各種數據。

通過掃描顯示114個以相同模式命名的 Amazon Buckets，這揭示了與 PeopleGIS的聯系。其中28個似乎配置正確(意味著它們不可訪問)，86個無需任何密碼或加密即可訪問。

這意味著有3個可能：

• PeopleGIS 創建了存儲桶并將其移交給他們的客戶(所有市政當局)，其中一些人確保正確配置了這些存儲桶;
• 存儲桶是由PeopleGIS的不同員工創建和配置的，關于這些存儲桶的配置沒有明確的指導方針;
• 市政當局自己創建了存儲桶，使用PeopleGIS關于命名格式的指導方針，但沒有任何關于配置的指導方針。

哪些數據易受攻擊?

網絡安全研究人員團隊發現了80多個錯誤配置的Amazon S3 存儲桶，其中包含與這些城市相關的數據，總計超過1000 GB的數據和超過160萬個文件。 公開的文件類型因市政當局而異。這種差異和涉及的市政當局數量意味著無法明確估計在這次違規中易受傷害的人數。

圖為：泄露文件示例：房地產稅法案。

暴露的文件類型包括營業執照、居住記錄(例如契約)、稅務信息和政府工作申請人的簡歷。泄露中暴露的信息包括(但不限于)：

• 電子郵件地址
• 實際地址
• 電話號碼
• 駕駛執照號碼
• 房產稅信息
• 個人照片(駕駛執照上)
• 房源照片
• 建筑和城市規劃

圖為：泄露文件示例：緊急和危險化學品清單表格。

一些易受攻擊的文檔已被編輯，但它們是使用標記等透明工具進行數字編輯的。這意味著找到它們的人可以在照片編輯器中更改文檔的對比度級別并查看編輯后的信息。 這意味著即使是經過編輯的文檔也可能在這次違規中受到攻擊。

圖：暴露文件的一個例子：駕駛執照。

違規行為可能導致這些城市的公民大規模欺詐和盜竊。地方政府數據庫中包含的數據具有高度敏感性，從電話號碼到營業執照再到稅務記錄，極易被不良行為者利用。 這些信息中的大部分應該只能由政府和公民訪問，這意味著有人可能通過冒充政府官員來欺騙個人。

有哪些風險以及如何保護自己免受詐騙?

圖為：公開文件示例：財產登記表。

• 身份盜竊：泄露中暴露的大量PII(個人身份信息)和私人詳細信息可能會讓壞人很容易偽裝成其他人并竊取他們的身份。 這種違規行為使身份盜用成為一種特別危險的風險，因為不良行為者獲得的信息越多，他們就越有可能成功。
• 網絡釣魚、欺詐和詐騙：大量易受攻擊的財務和機密記錄可能會讓黑客冒充政府官員進行網絡釣魚、欺詐或詐騙公民。
• 盜竊：暴露的住宅信息，如房屋計劃、契約和業主信息，可以讓攻擊者深入了解他們的目標。他們還可以使用這次入侵中的信息來尋找更容易上當人群，如老年人。
• 文件操作：這種風險取決于市政當局如何使用配置錯誤的存儲桶中的數據。如果文件僅用于備份存儲，則幾乎沒有屬性值操縱的風險。但是，如果市政當局積極使用這些存儲桶中的數據，則可能會覆蓋文件以操縱財產價值、個人稅務信息和其他方法。
• 贖金：攻擊者可以從存儲桶中下載文件，然后將其擦除并將數據贖回城市。

以上僅代表幾個方面，網絡犯罪分子不斷更新新的手段來利用互聯網上的任何易受攻擊的人。

數據安全建設任重道遠

頻繁發生的數據泄露事件提醒我們，隨著互聯網加快發展，包括政府在內的企業和個人，越來越多的數據存儲在互聯網上，這也意味著在發生網絡攻擊時，這些數據面臨著危險。尤其隨著我國智慧城市的建設，物聯網和互聯網結合使用，一方面方便了社會治理和居民生活，但另一方面，不斷收集并流轉的大數據也給網絡犯罪分子以可乘之機，一旦攻破網絡安全防御，丟失損壞數據造成的后果難以預計。因此，在建設數字化轉型的同時，更要將安全放置在首位，提前做好網絡安全布局，對網絡攻擊做到未雨綢繆。