据报道,有研究人员发现了一个大型的数据库,其中包含存储在亚马逊网络(aws)数百万个欧洲客户记录,任何人使用搜索引擎都能查找到这些记录。
泄露的数据库共涉及 800 万条记录,主要是通过亚马逊,eBay,Shopify,PayPal和Stripe在内的公司的市场和支付系统API收集到的。
记录中的数据包括姓名,送货地址,电子邮件地址,电话号码,购买的物品,付款,订单ID,Stripe和Shopify发票的链接以及部分编辑的信用卡。此外,还包括成千上万的Amazon Marketplace Web服务(MWS)查询,MWS身份验证令牌和AWS访问密钥ID。
由于一个客户可能会生成多个记录,所以无法估计有多少客户受到影响。据称大约有一半泄露记录的客户来自英国,其余的大部分都来自欧洲其他地方。
为何会信息泄露?
根据Comparitech的数据,这可能与进行跨境增值税分析的第三方公司有关。亚马逊查询可用于查询MWS API,这可能使攻击者可以从销售数据库中请求记录。因此,它建议所涉及的公司应立即更改其密码和密钥。亚马逊于 2 月 8 日向涉嫌关闭数据库的第三方公司开始调查该违规行为。
尽管目前没有证据表明有人在这些数据不受ekeye保护的情况下访问过该数据。但这个例子足以证明,客户信息被泄露是一件多么简单的事情。
Comparitech和Diachenko之前发现的例子包括:
自2005年以来,总共有2.5亿条客户记录留在Elasticsearch上。
一个数据库,其中包含2.67亿个用户ID,电话号码和姓名,这些信息留在Elasticsearch上。
在Elasticsearch服务器中,有500万Adobe Creative Cloud客户的电子邮件数据库(2019年10月)。
5700万美国人的个人详细信息留在Elasticsearch的营销数据库上。
在过去一年,此类违规事件的数量和范围似乎都在增长。目前针对它们的防御措施很简单,在未造成真正的损害之前,应引起重视并有力解决。
亚马逊客户信息遭泄露不是第一次
今年1月12日,外媒报道, 亚马逊在一周内第二次承认,其员工存在不当获取和分享客户数据的行为。随后, 亚马逊发言人在一份声明中表示:“对这起事件负有责任的个人已经被解雇,我们正在支持执法部门对他们的起诉。”
而在此前的另一起事件中,亚马逊表示,它解雇了四名家庭安全公司Ring员工,原因是他们滥用对客户视频源的访问权限。
电商类易成攻击对象
互联网的发展,给人们购物带来了极大的便利,同时也带来了一定的隐患。信息安全便是一方面。电商类应用因涉及线上交易等业务且与用户账户资金密切相关,往往易成为黑灰产行业攻击对象,恶意刷券、虚假注册套取平台奖励等事件数见不鲜,一旦应用潜在的漏洞隐患被加以非法利用,造成的损失将难以估量。
对于卖家来讲,网站被攻击、用户数据泄露可能意味着自己的销售业绩、销售人群等核心信息将暴露在竞争对手视线之内;
对于买家来讲,电商平台被攻击,买家的个人信息被曝光,产生的不安全感将会反作用于对购物平台的信任度下降,终止后续购买行动。
因此,客户信息安全值得各个电商平台重视。
电商企业数据安全刻不容缓
随着网络安全问题日趋严峻,不仅有关部门对电商网站合规性的要求越来越高,而且全球消费者对个人数据和个人隐私的重视也日益增加。
此外,用户的支付信息几乎成为大多数网络攻击的主要目标,而对电商网站的攻击比率也呈现上升趋势。
作为卖家,如果电商网站的安全漏洞导致客户数据丢失,所要面临的相关罚款以及对品牌声誉的损害都将是惨痛的。
1、避免陷入网络钓鱼陷阱
避免感染恶意软件的有效方法之一是避免落入网络钓鱼的陷阱。除非已验证过收件人的身份,否则切勿提供任何级别的个人信息。
切勿点击电子邮件中的可疑链接,因为它们可能会将带到一个看起来与正规网站高度相似的登录页面以窃取信息。此外,切忌不要下载陌生的附件。
2、确保网站始终升级到最新版本
如果使用的是BigCommerce之类的SaaS电商平台,平台将能够自动完成软件更新。如果使用的是其他电商解决方案,也请密切关注软件更新、错误修复和漏洞补丁,将防病毒和反恶意软件升级到最新版,并且开启防火墙。
3、切换到HTTPS
HTTPS是一项相对安全的加密传输协议,是HTTP的升级版。HTTPS=HTTP+SSL,其中SSL及其继任者TLS是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密,防止传输数据被他人窃取、窥视或篡改。
安全的HTTPS传输将有助于保护网站,而且这也有利于SEO,因为谷歌自然搜索排名对HTTPS网站要更为友好。
声明:本网站发布的图片均以转载为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。本站原创内容未经允许不得转载,或转载时需注明出处:GDCA数安时代
领取优惠
提交成功!