由黑客行动主义者诺姆·罗特姆(Noam Rotem)和兰·洛卡尔(Ran Locar)领导的VPNMentor研究团队发现,这个不安全的数据库包含24GB的关于各个家庭的极其详细的信息,包括他们的全名、地址、年龄和出生日期。

微软云服务器上的海量数据库还包含以“数值”表示的编码信息,研究人员认为这些信息与房主的性别、婚姻状况、收入等级、身份和居住类型有关。

幸运的是,未受保护的数据库不包含与任何受影响的美国家庭有关的密码、社会安全号码或支付卡信息。

研究人员验证了缓存中某些数据的准确性,但他们没有下载完整的数据,以尽量减少对受影响数据隐私的侵犯。

研究团队在运行一个web映射项目时意外发现了该数据库,该项目使用端口扫描来检查已知的IP块,以便在web系统中找到漏洞,然后检查漏洞和数据泄漏。

通常,团队会提醒数据库所有者报告泄漏,以便受影响的公司能够保护它,但在这种情况下,研究人员无法确定数据库所有者。“与我们之前发现的泄露不同,这次我们不知道这个数据库属于谁,”该团队在一篇博客文章中说。“它托管在云服务器上,这意味着与其关联的IP地址不一定与其所有者连接”。

这个不安全的数据库直到周一才上线,不需要密码就可以访问,现在已经离线。

由于数据库中的每个条目都以“member_code”和“score”结尾,而且没有人在40岁以下,研究人员怀疑数据库可能属于保险、医疗或抵押贷款公司。

然而,在经纪人或银行拥有的数据库中,人们可能会发现数据库中缺少保单或账号、社会保险号码和支付类型等信息。

研究人员随后在周一呼吁公众帮助他们确定谁可能拥有该数据库,以确保其安全。

虽然数据库没有公开敏感的卡信息或SSN,但披露的数据足以让人担心身份盗窃、欺诈、网络钓鱼欺诈,甚至家庭入侵。

Rotem是今年早些时候在流行的Amadeus在线机票预订系统中发现严重漏洞的同一位安全研究员,该系统可能允许远程黑客查看和修改数百万主要国际航空公司客户的旅行详细信息,甚至声称他们的常旅客里程。

数据库 服务器
撤稿纠错
本作品采用《CC 协议》,转载必须注明作者和本文链接