美国运通印度分公司数据库曝光,致70万人信息泄露

2018 年 11 月 10 日 FreeBuf

10月23日,Mongo数据库曝出漏洞,通过这个漏洞,任何人都能对数据库进行查看、编辑操作。

根据相关数据显示,这些记录似乎都来自印度的美国运通分公司。值得注意的是,在操作过程中并不需要使用任何特殊的程序,仅仅是通过Shodan一类的物联网搜索引擎或BinaryEdge.io来进行查找就可以得到相应的信息。

根据BinaryEdge.io的搜索结果,该数据库在10月20日首次被编入了索引,这意味着在数据库被人发现之前,已经处于曝光状态5天之久。

虽然大多数据都是加密的,但是仍然有一些包含了americanexpressindia.co.in域上的托管服务账户的可读链接和详细信息的数据集存在,其中的用户姓名以及电话号码等信息都是可查的。

在所有曝光数据中,最大的非加密数据集包含了689272条数据,其中包括了大部分美国运通在印度的客户的信息。而全部的加密数据大约有2332115条,也基本将所有涉及的用户信息泄漏了个底掉,姓名、地址、身份证号、PAN卡号等信息一应俱全。

经过研究人员的了解,得出了大概的结论。他们认为数据库并不是由AmEx亲自管理的,而是由负责SEO的分包商或者一些其他客户来对其代为管理。至于得出这个理论的原因,是因为暴露的数据中还发现了很多条诸如“campaignID”、“prequalstatus”或“leadID”等字段。

研究人员表示,在发现了这些数据之后,立刻与美国运通取得了联系并汇报了漏洞信息,对方也在第一时间将公开数据库信息进行了保护。此外,对方也澄清MongoDB的数据库是通过安全加密的,一般都不会有未经允许就可以访问的数据库内容。

在本次事件中,AmEx的快速反应、及时采取的相关措施可以说是非常到位,他们几乎在接到通知的同时便下线了服务器并开始着手调查。

通过这件事,我们也可以知道,网络安全不论在开发过程中的哪一个阶段都是非常重要的部分,甚至可以说是互联网必须品。正如这次事件一样,人们永远都不会知道平日里所仰仗的一些安全机制(比如防火墙),会在什么时候突然崩溃,将你的隐私公之于众。数据泄露问题已是屡见不鲜,这次AmEx泄露的是一些个人信息,也许下一次就会是更关键的数据曝光。网络安全仍然不可掉以轻心。

*参考来源:hackenproof,Karunesh91编译,转载请注明来自FreeBuf.COM

登录查看更多
1

相关内容

数据库( Database )或数据库管理系统( Database management systems )是按照数据结构来组织、存储和管理数据的仓库。目前数据管理不再仅仅是存储和管理数据,而转变成用户所需要的各种数据管理的方式。
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
117+阅读 · 2020年5月10日
【复旦大学-SP2020】NLP语言模型隐私泄漏风险
专知会员服务
24+阅读 · 2020年4月20日
广东疾控中心《新型冠状病毒感染防护》,65页pdf
专知会员服务
18+阅读 · 2020年1月26日
新时期我国信息技术产业的发展
专知会员服务
70+阅读 · 2020年1月18日
印度首次挑战登月告败,一步之遥≈多大差距?
人工智能学家
4+阅读 · 2019年9月7日
威胁情报驱动:F3EAD 之利用
计算机与网络安全
4+阅读 · 2018年12月28日
GDPR之风盛行,美、印、巴接连启动数据保护立法
百度公共政策研究院
4+阅读 · 2018年8月29日
抖音完了!这次道歉也没用了
今日互联网头条
9+阅读 · 2018年7月2日
噩耗再次传来!华为,挺住!
FinTech前哨
4+阅读 · 2018年2月4日
QuAC : Question Answering in Context
Arxiv
4+阅读 · 2018年8月21日
Arxiv
4+阅读 · 2018年4月29日
VIP会员
相关资讯
印度首次挑战登月告败,一步之遥≈多大差距?
人工智能学家
4+阅读 · 2019年9月7日
威胁情报驱动:F3EAD 之利用
计算机与网络安全
4+阅读 · 2018年12月28日
GDPR之风盛行,美、印、巴接连启动数据保护立法
百度公共政策研究院
4+阅读 · 2018年8月29日
抖音完了!这次道歉也没用了
今日互联网头条
9+阅读 · 2018年7月2日
噩耗再次传来!华为,挺住!
FinTech前哨
4+阅读 · 2018年2月4日
Top
微信扫码咨询专知VIP会员