本文轉載自微信公眾號「祺印說信安」，作者何威風。轉載本文請聯系祺印說信安公眾號。

據國外安全媒體報道，一家位于佛羅里達州杰克遜維爾的交通運輸行業商業信用報告機構TransCredit 因配置錯誤致使50萬人財務數據泄露。

Website Planet 的 IT 安全研究人員發現了一個配置錯誤的數據庫，該數據庫為運輸行業商業信用報告機構 TransCredit 擁有。

據 Website Planet 的 Jeremiah Fowler 稱，該數據庫包含客戶敏感財務和個人數據的寶庫，其中包括加拿大和美國的貨運和運輸公司。

暴露了哪些數據?

總共，錯誤配置的數據庫暴露了 822789 條記錄，其中 600000 條是客戶的信用記錄，涉及500000多人。

暴露的信息包括：

• 全名
• 稅號
• 電子郵件地址
• 付款歷史
• 銀行信息
• 社會安全號碼 (SSN)
• 內部登錄 ID 和密碼
• EIN(雇主識別號碼)
• ……

沒有密碼保護的數據庫暴露

根據 Website Plant 的博客文章，該事件糟糕的是數據庫在沒有任何密碼或安全認證的情況下可以被公開訪問，這意味著任何知道如何查找錯誤配置數據庫的人都可以訪問這些數據。

此外，2020 年， 47%的在線 MongoDB 數據庫被勒索軟件團伙入侵。故數據庫面臨被勒索軟件團伙入侵的風險。

對運輸公司來說真正的危險是欺詐和詐騙。數據庫包含足夠的信息來創建一系列高度針對性的欺詐或詐騙。掌握內幕信息的犯罪分子可能很容易獲得信任，公司或個人在驗證稅號或其他數據時不會那么可疑。

時間段

雖然目前尚不清楚該數據庫究竟是何時在互聯網上暴露的，或者是否被第三方惡意訪問，但據研究人員透露他們在 2021 年 9 月 17 日發現了錯誤配置。然而，直到最近才對外分享該細節。據報道稱，TransCredit 在收到來自 Website Planet 的警報后不久就迅速響應并保護了數據庫。

數據的重要性，在我們生活中占比越來越重，對于我們個人來說一條數據可能價值不是太高，不過在黑色或灰色產業鏈來說，我們的數據就變成他們生產的“原材料”，從不同維度都可以說“數據即財富”，保護數據就是保護我們的財富。同時，“數據即個體”，保護數據就是保護我們自身。