1.98億準車主資料網上任人睇 個人資料全部無加密保護

購買汽車之前通常都會在網上做資料搜集,外國有不少類似的公司收集了大量準汽車買家的個人資料,不但進行廣告分類,也會作為銷售線索向其他人發送,較早前就有一家公司的數據庫被發現於網路上完全「裸露」,令 1.98 億準車主的個人資料任人觀看。

從網絡上收集潛在買家的資訊公司
這次涉事的公司名為 Dealer Leads,被發現其 Elastica DB 內的資料在無加密的情況下在網絡上可隨意存取。該公司透過 SEO 優心的目標網站收集潛在買家的資料,那些網站全部提供買車的資料搜集並替訪客分類廣告,公司在收集到這些資料後,會作為銷售線索發送給特許經營和獨立的汽車銷售商。事件中涉及中超過 1.98 億位準車主的資料,資料庫含有 413 GB 的資料。

個人資料全部任看
由於涉事的 Elastica DB 欠缺密碼保護,令內存的個人資料變成在網上任人觀看,資料包括:姓名、電郵地址、電話號碼、住址、IP 地址、借貸及財務資料等個人敏感資料。研究人員補充,Dealer Leads 的經營模式並不太透明,當準車主聯絡當地的銷售商時,他們可能並不知道其實網站已經收集他們的資料作為線索,或者資料已經被 Dealer Leads 儲存、記錄、出售或分享。研究人員向有關網站和獨立銷售商查詢資料庫的購入來源,全部都沒有得到正面的答覆,即使通知他們潛在資料外洩事故,最後研究人員發現不少域名都連向 dealerleads[.]com。

資料庫「大開中門」時間不明
在研究人員於 8 月中通知 Dealer Leads 後,有關的資料庫已經不再「中門大開」,關閉公眾存取資料庫的權限,然而研究人員表示,即使資料庫現現在已經不在任人觀看,但到底「公開」了多久成為問題,有多少銷售商或網站訪客資料已經外洩也無法得知,因為無法知道誰人曾存取過該數以百萬計的記錄。而事件再次提醒收集和儲存大量數據的機構,妥善保護資料極為重要,越來越多人認為客戶資料與產品或服務同樣重要。

其實這次事件只是另一次雲端儲存的錯誤設定事故,最近最嚴重的事故應該要數 Capital One,網絡罪犯存取超過 1 億美國人和 600 萬加拿大人的資料,而作為受害者的一般用戶對這類事件根本無計可施,唯有期望提供服務的機構能夠小心行事。

資料來源:Threat Post