全球零售商BuyGoods.com泄露198GB内部和用户PII、KYC数据

特拉华州BuyGoods.com来自威尔明顿，拥有遍布17个国家/地区的300万消费者用户群。这个配置错误的数据库容量达到惊人的198.3GB，包含超过260000条记录，其中包括客户使用未经编辑的信用卡的自拍照。

网络安全研究员Jeremiah Fowler最近发现了一个配置错误的云数据库，导致大量敏感数据暴露。受影响的数据库包含归属于BuyGoods.com客户的记录，或者在行业中被称为Softwareproject。

供您参考，用他们自己的话说，“BuyGoods.com是一个面向产品所有者、营销人员和在线购物者的全球电子商务市场和业务管理平台。” 特拉华州BuyGoods.com来自威尔明顿，拥有遍布17个国家/地区的300万消费者用户群。

暴露的数据库大小总计198.3GB，缺乏任何形式的安全认证，可供公众公开访问。这个未受保护的数据库中有超过260000条记录，包含全面的信息。这包括有关联营公司付款、退款交易、发票、会计记录和各种其他形式的数据的详细信息。

更糟糕的是，暴露的服务器还暴露了客户和附属公司的个人记录，其中包含高度敏感的个人身份信息（PII）和了解你的客户（KYC）数据。

这些暴露的信息包括客户的自拍照以及他们的个人身份证、执照、护照，甚至未经编辑的信用卡详细信息。此次隐私泄露事件的全球影响可能是巨大的，因为这些记录涉及来自世界各地的个人。

在WebsitePlanet的博客文章中，Fowler透露，他立即向BuyGoods.com通报了该安全问题。尽管该公司迅速承认并保证数据已受到保护，但福勒发现，在他负责的披露几天后，服务器仍然暴露在外。

”我立即发送了一份负责任的披露通知，并通过电子邮件收到了以下消息： “感谢您让我们知道此事。目录列表的访问问题现已解决。我们正在将所有PII数据从这些公共存储桶中移走”。尽管努力解决这个问题，但在受到限制之前，数据库似乎仍然可以访问一段时间，”福勒解释道。

承载PII或KYC数据的配置错误的服务器对毫无戒心的客户的在线隐私和人身安全构成巨大威胁。有些人可能认为简单的数据泄露可能会变成一场噩梦。

如果这些敏感信息落入坏人之手，可能会加剧身份盗窃，从而导致金融欺诈和未经授权的个人账户访问。此外，犯罪分子可能利用窃取的数据进行恶意活动，创建虚假个人资料，危害安全和公共安全。

此类违规行为的后果可能会导致广泛的混乱，损害个人对数字系统的信任以及对其最私密信息的保护。

管理员可以采取多种措施来解决数据库或服务器配置错误的问题。以下是对数据库安全和保护至关重要的一些关键步骤：

1. 定期审核和评估：

对数据库配置进行定期审核和评估，以识别漏洞和错误配置。这种主动方法有助于在问题被恶意行为者利用之前检测到问题。

2. 实施最小权限原则：

将用户访问权限限制为其角色所需的最低限度。应用最小权限原则可以限制对敏感数据的未经授权的访问，从而减少安全漏洞的潜在影响。

3. 使用强身份验证和访问控制：

实施强身份验证机制（例如多重身份验证）以增强访问凭据的安全性。此外，实施强大的访问控制，以确保只有授权的个人才能更改数据库配置。

4. 加密敏感数据：

加密静态和传输中的敏感数据。这增加了一层额外的保护，使未经授权的用户更难提取有意义的信息，即使他们获得了数据库的访问权限。

5. 定期更新和修补系统：

使用最新的安全修补程序使数据库系统和服务器软件保持最新状态。定期更新有助于解决已知漏洞并增强系统的整体安全状况。

6. 监控和记录活动：

实施全面的监控和记录机制，以及时检测异常活动或未经授权的访问。监控工具可以帮助管理员识别潜在的安全事件并迅速做出响应。

7. 教育人员：

对管理员和其他人员进行培训和教育， 让他们了解正确配置实践的重要性以及与错误配置相关的潜在风险。提高意识有助于形成组织内的安全文化。

8. 自动化配置管理：

利用自动化配置管理工具确保服务器配置的一致性和准确性。自动化减少了人为错误的可能性，并有助于维护安全和标准化的环境。

9. 事件响应计划：

制定并定期更新事件响应计划，以在发生安全事件时指导管理员。该计划应包括调查、遏制、消除与错误配置相关的违规行为并从中恢复的步骤。

10. 聘请外部安全审核员：

定期聘请外部安全专家进行彻底的评估和渗透测试。外部审计提供了公正的视角，可以发现内部可能被忽视的漏洞。