墨西哥退稅網站MoneyBack泄露400GB客戶敏感數據

E安全9月11日訊 又一波大規模數據泄露事故再次佔據頭條：來自安全企業Kromtech公司的專家們發現，墨西哥增值稅退稅網站MoneyBack因資料庫配置錯誤導致大量客戶敏感信息遭遇外泄。

Kromtech公司是在一次日常安全審計期間發現此非安全CouchDB資料庫的。

墨西哥增值稅退稅網站MoneyBack主要供遊客用於申請在該國遊覽時購買開銷當中的稅金部分。

此次數據泄露因一套Apache CouchDB資料庫存在配置錯誤而起，其中包含有約50萬名客戶的護照信息、信用卡號碼以及旅行票據等等。

Kromtech公司在發布的分析報告中指出，「Kromtech安全研究中心已經發現一套存在配置錯誤的資料庫，其中包含的近50萬客戶文件被暴露且可公開訪問。」

「此資料庫似乎與MoneyBack網站有關——其為墨西哥國內面向國際遊客的主要退稅（增值稅退稅或銷售退稅）服務供應方。」

「Moneyback隸屬於Prorsus Capital SAPI de CV，一家墨西哥投資基金。此次遭遇外泄的數據總量超過400 GB。」

專家們發現超過400 GB敏感數據可通過網路進行公開訪問，如此龐大的信息當中囊括有45萬5038份掃描文檔（包含護照、ID、信用卡以及旅行票據等等）以及8萬8623條註冊或者掃描形式的惟一護照號碼。

專家們發現其中包含的護照信息來自世界各地，具體包括美國、加拿大、阿根廷、哥倫比亞以及義大利等國公民。這部分民眾曾經於2016年到2017年之間使用此類退稅服務。

那麼這類數據外泄可能引發哪些風險？

Kromtech公司戰略聯盟副總裁阿歷克斯·柯尼什紐克指出，「網路犯罪分子將能夠藉此獲得進行身份欺詐的的全部資料，或者直接使用資料庫中的數十萬條信用卡號碼。」

註：本文由E安全編譯報道,轉載請註明原文地址

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！