以色列數位行銷業者未能妥善處理系統資安設定,導致近五千萬人的電子郵件信箱等個資在網路曝光。
據媒體報導指出,這家名為 Straffic 的以色列數位行銷公司外洩的資料庫大小,高達 140GB,內含個資除了 Email 外,還包括姓名、電話號碼、實體地址等。
這個資料庫存放在 AWS 上,可能是因為 Straffic 的人員未能正確設定伺服器與資料庫的資安原則,同時沒有適當存放其登入資訊,導致這起外洩事故。
獨立資安研究者在研究垃圾信件寄送過程時,無意發現了存在網路上的某個 .env 檔,內含指向某個 Elasticsearch 資料庫的登入資訊,該研究者因而發現這個巨大資料庫。
該公司於二月26日發表簡短聲明,承認發生資料外洩事件,但強調問題已經解決,且尚未發現這批資料有遭濫用或被竊的情形。
著名資安研究者 Troy Hunt 指出,這批曝光的 Email 地址當中,已經有七成都在他提供的「Have I been Pwned」被駭資料庫中出現,但這也表示有多達三成的 Email 是過去未曾被竊過的。
▼參考連結▼
- https://www.bankinfosecurity.com/israeli-marketing-company-exposes-contacts-database-a-13785
- https://www.bleepingcomputer.com/news/security/49-million-unique-emails-exposed-due-to-mishandled-credentials/
- https://straffic.io/updates.php
更多【資安事件及新聞】請參考 http://twcert.org.tw/twcert/news
文章標籤
全站熱搜
留言列表