9月11日,Dealer Leads旗下的Elastica DB披露了“研究”网站收集的大量潜在购车者的信息。超过1.98亿份包含潜在购车者信息的记录被发现暴露在互联网上,这些记录包括贷款和金融数据、车辆信息以及网站访问者的IP地址。
这个不受密码保护的Elasticsearch数据库属于Dealer Leads公司,该公司通过优化搜索引擎的目标网站收集潜在买家的信息。
据安全发现公司的高级安全研究员耶利米·福勒(Jeremiah Fowler)说,这些网站都为访问者提供购车研究信息和分类广告。他们收集这些信息,并将其发送给特许经营和独立的汽车经销商作为销售线索。公开的数据库总共包含413GB的数据。这些信息包括记录姓名、电子邮件地址、电话号码、物理地址、IP地址以及其他以纯文本形式暴露在公共互联网上的敏感或可识别信息。
8月20日福勒致电该公司后不久,总部位于加州的Dealer Leads关闭了对该数据库的公开访问。然而,数据集似乎在此之前已经存在了一段时间。目前还不清楚是经销商负责人通知了与其合作的汽车经销商,还是网站访问者自己受到了影响。
根据GoogleAnalytics的说法,DeattleLead在LinkedIn上称自己是“汽车行业连续四年最高的中转商”,该公司一直“根据购车者使用的搜索词收集和购买流行的汽车相关域名”。
这里的销售人员说:“我们已经将这些频繁使用的搜索词转变成各种网站SEO来匹配这些搜索术语,这些网站在购买汽车的各个阶段都会捕获用户。”
外泄数据库中有哪些购车信息?
该数据库被发现包含1.98亿条记录,包括姓名、电子邮件地址、电话号码、街道地址以及“其他以纯文本形式暴露在公共互联网上的敏感、可识别信息”。安全研究人员还指出,网络罪犯可以利用IP地址、端口、路径和存储信息等数据来进一步浏览网络。
接下来发生了什么?
当这位安全研究员发现了Dewarlead的连接后,他就通过电子邮件向公司报告了他发现的1.98亿条记录、非密码保护、Elasticearch数据库。
难以置信的是这些数据库信息一直暴露给外部的人,持续数日。在福勒与该公司销售沟通后,他们才意识到这一点,公众访问被关闭,并且采取了密码保护措施。
虽然一旦通知了数据库,DewartLead就会迅速采取密码保护措施,但是数据已经被公开并被任何人访问了多久,谁知道呢?
安全专家怎么说?
Javvad Malik:“每周都会有更多公司公开披露基于云的数据,表面看来似乎是一个技术上的错误配置问题,但根本原因是许多公司存在的安全文化,或者说缺乏安全。”
Synopsys高级安全策略师乔纳森·克努森(JonathanKnudsen)表示,“我们需要一个简单的政策,即每个面向互联网的系统都需要密码保护、数据加密或其他基本保护。这样可以大大降低风险,为实施更全面的软件安全计划提供一个跳板。”
Outpost24的攻击性安全经理Hugo Van Den Toorn表示,要减少Elastics这个组织的数据库软件配置不当,如果集群直接连接到互联网,任何人都可以不用密码就能连接起来,那尤其危险。”
