HackRead 網(wǎng)站披露，Website Planet 網(wǎng)絡(luò)安全人員發(fā)現(xiàn)了一個配置錯誤的數(shù)據(jù)庫，分析后發(fā)現(xiàn)該數(shù)據(jù)庫暴露了約 82 萬條記錄，其中約 60 萬條是客戶信用記錄。

據(jù)悉，該數(shù)據(jù)庫由 TransCredit 運(yùn)營( TransCredit 是一家位于佛羅里達(dá)州杰克遜維爾的運(yùn)輸業(yè)商業(yè)信用報告機(jī)構(gòu))。

數(shù)據(jù)庫暴露了哪些數(shù)據(jù)?

研究人員對數(shù)據(jù)庫信息詳細(xì)分析后，發(fā)現(xiàn)主要暴露以下信息。

• 姓名;
• 稅號;
• 電子郵件地址;
• 支付歷史記錄;
• 銀行信息;
• 安全號碼(SSN);
• 內(nèi)部登錄ID和密碼;
• 雇主識別號(EIN)。

暴露數(shù)據(jù)庫的截圖之一

暴露的數(shù)據(jù)庫沒有密碼保護(hù)

糟糕的是，研究人員發(fā)現(xiàn)暴露的數(shù)據(jù)庫沒有任何密碼或安全認(rèn)證，意味著任何可以發(fā)現(xiàn)錯誤配置數(shù)據(jù)庫的人員都可以訪問這些數(shù)據(jù)。

此外，該數(shù)據(jù)庫還面臨著被勒索軟件團(tuán)伙破壞的風(fēng)險，2020 年，47% 的在線 MongoDB 數(shù)據(jù)庫被勒索軟件團(tuán)伙入侵。

值得一提的是，對運(yùn)輸公司來說真正的危險是欺詐和詐騙。該數(shù)據(jù)庫包含足夠的信息來實(shí)施一系列高度針對性的欺詐或詐騙。掌握“內(nèi)幕信息”的犯罪分子可能很容易獲得用戶信任。

數(shù)據(jù)庫暴露時間“已久”

雖然目前尚不清楚該數(shù)據(jù)庫究竟是何時在網(wǎng)上暴露，或者是否被第三方惡意訪問，但是，Website Planet安全研究人員早在 2021 年 9 月 17 日就已發(fā)現(xiàn)了此錯誤配置。遺憾的是，直到最近具體細(xì)節(jié)才被分享。

好消息是，TransCredit 在收到 Website Planet 的“警報”后不久就迅速響應(yīng)并保護(hù)了數(shù)據(jù)庫。

參考文章：https://www.hackread.com/transcredit-exposed-financial-data-americans-canadians/