国外安全网站研究团队发现,中国社交媒体管理公司笨鸟(Socialarks)泄漏了不安全的ElasticSearch数据库,导致超过400GB的个人资料数据对外泄漏,当中包括几位知名人士和网红。
笨鸟公司成立于 2014 年,是一家为跨境 B2B 企业提供销售线索推荐与转化及 ABM 营销服务的公司,其总部位于深圳,在北京、上海、广州等地均有分支机构。
报道称,此次泄露受影响的数据包含来自世界各地至少 2.14 亿人的个人敏感信息,包含 3.18 亿条记录,总计 408GB。这些数据基本来自 Facebook、Instagram 以及 LinkedIn 等专业网络的社交图文、影片等。
Safetydetectives 团队在对可能不安全的数据库进行常规 IP 地址检查期间,发现笨鸟的 ElasticSearch 服务器是对外公开的,没有密码保护或加密功能。
笨鸟公司服务器上缺乏安全装置,这意味着拥有服务器 IP 地址的任何人都可以访问包含数百万个人隐私信息的数据库。
此外,值得注意的是,2020 年 8 月,笨鸟公司也遭受了一次类似的数据泄露,导致 1.5 亿的 LinkedIn、Facebook 和 Instagram 用户的数据被暴露。
Safetydetectives 发现,笨鸟泄露的个人数据包括:
- 11651162 条 Instagram 用户个人资料;
- 66117839 条领英用户个人资料;
- 81551567 条 Facebook 用户个人资料;
- 55300000 条 Facebook 用户个人资料。
令人惊讶的是,安全研究团队发现的受数据泄漏影响的配置文件数量与该公司 8 月数据泄漏中提到的数量相同。但数据库的大小、托管这些服务的公司以及索引的数量存在很大差异。
从安全研究团队发现的泄漏数据中,可以确定人们的全名、居住国家、工作地点和联系方式等信息,还能直接链接到他们的个人资料。
在这些用户的个人资料里,安全研究人员发现了几位美食博主和其他社交媒体网红的数据。
每条记录都包含从有影响力的 Instagram 帐户中抓取的公共数据,包括其履历、个人资料图片、关注者总数、位置设置以及个人信息,例如电子邮件地址和电话号码的联系方式。
数据抓取现象普遍,如何防止个人信息泄露?
在笨鸟公司的案例中,私人信息是从多个来源获得的,该公司的服务器安全性不足。当提取或泄露包括电话号码、电子邮件地址等私人信息被获取,很可能被利用。大量的数据被出售或提供给其他恶意方,会使数据抓取的潜在后果更加广泛和严重。
为防止数据泄露,个人用户需要加强防范意识,定期检查所在网站是否安全,设置复杂的安全密码,不随意点击电子邮件中的连接,避免在不安全的 Wi-Fi 网络上使用信用卡并输入密码。
保护数据安全,从HTTPS加密开始
网络安全威胁可能会从各个渠道渗透到互联网系统中,任何一个疏忽都可能导致前功尽弃,因此数安时代GDCA建议互联网机构建立全面的网络安全防护,在服务器、网络、终端等多个渠道提升网络威胁防御能力,防止数据外泄,第一步就是要实现HTTPS加密。
我们都知道在HTTP页面中,用户的各项数据都是明文出现在互联网中,一旦数据在传输过程中被人截获,就会被泄露,更有甚者,还会遭到恶意篡改。数安时代GDCA建议各互联网机构尽快将网站、APP等迁移到HTTPS加密,在数据传输层就对数据进行全方位保护,避免数据被泄露或篡改,同时也树立权威的官方形象。
声明:本网站发布的图片均以转载为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。本站原创内容未经允许不得转载,或转载时需注明出处:GDCA数安时代