在美國買過車?你的個人信息恐已公開
如果你在近幾年來買了一輛汽車,你的個人信息很可能已經以某種形式泄露在互聯網上了。
有100多家汽車經銷商的客戶和員工的姓名,地址,電話號碼和社會安全號碼等一系列詳細信息已經泄露在網上,而這一切都拜集中記錄系統以及其低劣的安全性所賜。
這個集中記錄系統是由位於美國愛荷華州資料庫軟體公司DealerBuilt開發和運營的,這個系統為美國各地的汽車經銷商提供銷售管理,是一個集銷售,客戶關係和員工工資需求的中央系統。
上周,MacKeeper的安全研究人員發現有128個經銷商系統(為人所熟知的LightYear機械設備),由於其沒有進行任何加密或其他安全保障,已被備份到DealerBuilt的中央系統,任何人都能夠看到備份的內容。
這個資料庫是在Shodan上搜索到的(Shodan是一個用於搜索連接到互聯網的公開的和不安全的資料庫和設備的搜索引擎),主機上的873埠,通常由「rsync」協議所使用,該協議能夠遠程同步兩個不同計算機之間的文件副本。
一些資料庫已經共享到了ZDNet,以便於進行查證,其中包括新澤西州的Winner Ford,喬治亞州的 Chrysler Dodge Jeep Ram和威斯康星州的Vans Honda以及伊利諾斯州丹維爾市的Toyota。
每個資料庫包括多個數據表,每個數據表包含了銷售數據,員工之間的聊天記錄(其中還包含了在某些情況下談論獎金的記錄),工資單數據以及客戶名稱和地址。這個資料庫還存儲了一些敏感信息,如客戶的社保號,當然也包括了在這些經銷商工作的員工的社保號。
這可能會使那些客戶或員工面臨更高的風險,比如他們的身份可能被那些罪犯盜用,甚至以他們的身份提交虛假納稅申報表。
目前尚不清楚這些泄露的數據的確切數量,但是這個數據的總量就包含了幾百萬條的記錄 —— 可能多達500萬條。我們聯繫了那些詳細信息列在資料庫中的客戶,核實了他們的姓名和電話號碼,以及他們所屬的汽車經銷商。
我們所聯繫的經銷商也證實了他們是DealerBuilt的客戶。
「我很震驚」,我們所聯繫的一位經銷商業主說,「這完完全全地震驚到我了,我現在有一大堆問題想問。」另一個經銷商當聽到他們的客戶數據泄漏後,立即詢問應該如何通知他的客戶。他表示要把他的系統斷網,然後突然就掛斷了電話。n
另一家汽車經銷商經理說,他「非常關注」此次事件的進展,但當談到DealerBuilt時,他便拒絕予以置評。
DealerBuilt沒有說明該公司是如何處理數據安全的,但其網站卻已表示,其系統「提供非常高水平的安全性,只允許企業內部的人在獲得批准後才能訪問您希望他們看到的信息」。
本周一,DealerBuilt的首席技術官Adam Brown在接受電話採訪時,拒絕對此次事件發表評論,而第二天已聯繫不上他了。
一位安全研究人員在其博客中說:「發生這種大規模的數據泄漏,只不過是另一個痛苦的教訓罷了。這僅僅是因為私人信息和敏感數據在未經加密的情況下或沒有以現代數據安全實踐而進行存儲。
這些rsync備份目前已經被保護起來,但是該數據並沒有得到該公司的認可。正如研究人員所說,「目前還不清楚有多少人可能已經訪問了這些數據。」
註:本文參考來源於zdnet
推薦閱讀: