包括居民个人数据在内的 80 多个美国市政当局的敏感信息在大规模数据泄露中易受攻击

这一违规行为损害了公民的实际地址、电话号码、身份证、税务文件等。 由于独特的文档数量众多且类型多样，因此很难估计此次泄露事件中暴露的人数。无需密码或登录凭据即可访问此信息，并且数据未加密。

发生了什么？

100 多个美国城市似乎在使用同一产品，mapsonline.net，由一家名为 PeopleGIS 的美国公司提供。这些城市的数据存储在几个错误配置的 Amazon S3 存储桶中，这些存储桶与 MapsOnline 共享类似的命名约定。 因此，我们相信这些城市正在使用相同的软件解决方案。我们的团队联系了该公司，此后水桶已被固定。

PeopleGIS 是一家位于马萨诸塞州的公司，专门从事信息管理软件。马萨诸塞州的许多城市以及康涅狄格州和新罕布什尔州等周边州的一些城市使用他们的软件和平台来管理各种数据。

我们的扫描仪显示了 114 个以相同模式命名的 Amazon Buckets，揭示了与 PeopleGIS 的联系。其中，28 个似乎配置正确（意味着它们不可访问），86 个无需任何密码或加密即可访问。

这意味着有 3 个选项：

• PeopleGIS 创建了存储桶并将其移交给他们的客户（所有市政当局），其中一些人确保正确配置了这些存储桶；
• 存储桶是由 PeopleGIS 的不同员工创建和配置的，关于这些存储桶的配置没有明确的指导方针；
• 市政当局自己创建了存储桶，使用 PeopleGIS 关于命名格式的指导方针，但没有任何关于配置的指导方针，这可以解释员工知道与否的市政当局之间的差异。

哪些数据易受攻击？

我们的道德网络安全研究人员团队发现了 80 多个错误配置的 Amazon S3 存储桶，其中包含与这些城市相关的数据，总计超过 1000 GB 的数据和超过 160 万个文件。 公开的文件类型因市政当局而异。这种差异和涉及的市政当局数量意味着无法明确估计在这次违规中易受伤害的人数。

图为：泄露文件示例：房地产税法案。敏感信息已编辑。

暴露的文件类型包括营业执照、居住记录（例如契约）、税务信息和政府工作申请人的简历。泄露中暴露的信息包括（但不限于）：

• 电子邮件地址
• 实际地址
• 电话号码
• 驾驶执照号码
• 房产税信息
• 个人照片（驾驶执照上）
• 房源照片
• 建筑和城市规划

图为：泄露文件示例：紧急和危险化学品清单表格。敏感信息已编辑。

一些易受攻击的文档已被编辑，但它们是使用标记等透明工具进行数字编辑的。这意味着找到它们的人可以在照片编辑器中更改文档的对比度级别并查看编辑后的信息。 这意味着即使是经过编辑的文档也可能在这次违规中受到攻击。

图：暴露文件的一个例子：驾驶执照。敏感信息已编辑。

违规行为可能导致这些城市的公民大规模欺诈和盗窃。地方政府数据库中包含的数据具有高度敏感性，从电话号码到营业执照再到税务记录，极易被不良行为者利用。 这些信息中的大部分应该只能由政府和公民访问，这意味着有人可能通过冒充政府官员来欺骗个人。

有哪些风险以及如何保护自己

图为：公开文件示例：财产登记表。敏感信息已编辑。

身份盗窃： 泄露中暴露的大量 PII（个人身份信息）和私人详细信息可能会让坏人很容易伪装成其他人并窃取他们的身份。 这种违规行为使身份盗用成为一种特别危险的风险，因为不良行为者获得的信息越多，他们就越有可能成功。

网络钓鱼、欺诈和诈骗： 大量易受攻击的财务和机密记录可能会让黑客冒充政府官员进行网络钓鱼、欺诈或诈骗公民。

盗窃： 暴露的住宅信息，如房屋计划、契约和业主信息，可以让攻击者深入了解他们的目标。他们还可以使用这次入侵中的信息来寻找更脆弱的猎物，例如老年人。

文件操作： 这种风险取决于市政当局如何使用配置错误的存储桶中的数据。如果文件仅用于备份存储，则几乎没有属性值操纵的风险。但是，如果市政当局积极使用这些存储桶中的数据，则可能会覆盖文件以操纵财产价值、个人税务信息和其他方法。

赎金： 攻击者可以从存储桶中下载文件，然后将其擦除并将数据赎回城市。

不幸的是，上面的列表并不全面，网络犯罪分子总是在开发新的方法来利用互联网上的任何易受攻击的人。

尽管大多数电子邮件客户端都有阻止垃圾邮件和网络钓鱼企图的方法，但它们并非 100% 有效。 从看似可靠的来源收到意外电子邮件时，请勿打开任何附件。 网络钓鱼电子邮件通常使用恐吓策略来强迫用户打开附件。 如果您不确定自称是政府雇员的个人的电子邮件或电话，请致电他们的部门。 如果他们在联系您时没有提供部门，则他们可能与政府无关。这通常会让您验证附件是否合法。

如果发生数据泄露，政府应尽快通知潜在的弱势公民。