错误配置的数据库泄露了 15 万电子商务买家的信息

安全研究人员发现一个配置错误的云托管数据库泄露了超过 300,000 条记录，包括电子商务买家的敏感个人信息。

Safety Detectives 的一个团队于  今年 7 月 25 日发现了泄漏的 Elasticsearch 数据库，但声称该内容自 2020 年 11 月以来已在没有任何密码保护或加密的情况下暴露。

在托管公司阿里巴巴没有回复团队的外展后，其关闭泄漏的努力迄今为止被证明是失败的，数据库所有者的身份仍然是个谜。

所有安全侦探都能够从 500MB 的数据泄露中确定，所有者是一家中国 ERP 提供商，为在亚马逊和 Shopify 等平台上销售商品的企业提供服务。

报告称，在 329,000 份暴露的记录中，约有一半包含买家的姓名、电话号码、电子邮件、账单和送货地址。在某些情况下，卖家姓名、电子邮件地址和账单信息也被泄露。

报告称，德国、法国和丹麦的电子商务客户是其中的一大特色，可能有多达 150,000 名电子商务客户受到影响。

泄露的数据将成为诈骗者的金矿，他们过去是在后续网络钓鱼和身份欺诈尝试中重复使用个人信息的高手，旨在获取更敏感的财务信息。

“家庭地址也可以在数据库中找到。如果个人身份信息 (PII) 被出售给其他罪犯，这将使入室盗窃/入室盗窃成为真正的可能性。窃贼可能会瞄准那些下高价值订单的用户，希望受害者的房子里装满了昂贵的商品，”报告称。

“订购商品被盗是与泄露订单详情相关的另一个风险。跟踪链接、发货时间、快递信息、送货地址和订单信息为犯罪分子提供了足够的数据来拦截和窃取用户订购的商品。”

如果最终找到数据库所有者，他们可能面临 GDPR 和中国新的等效立法《 个人信息保护法》(PIPL)监管机构的调查。