美國營銷公司雲存儲配置錯誤，3.4億條客戶記錄遭泄露

你可能從沒有聽過市場和數據匯總公司Exactis，現在就有一個機會讓你了解它一下。最近，這家位於佛羅里達的公司，出現了一起可能是迄今為止最大的由於雲存儲配置錯誤造成的數據泄露事件，涉及3.4億條記錄。

實際上，事情最早暴露於本月初，當時安全研究員Vinny Troia發現該公司的一個資料庫存儲在了一個公開可訪問的伺服器上，包含了3.4億條記錄，大小2TB，可能涵蓋2.3億人（包括數億美國成年人以及數百萬企業的個人信息），幾乎是全美的上網人口。儘管資料庫中包含的確切人數不明，且泄露的信息不包括信用卡信息或者社會安全碼，但是卻對列出的每個人的情況都有詳細記錄，比如，電話號碼、家庭地址、電子郵件地址以及其他高度個人化的信息，從興趣愛好和習慣到孩子的數量、年齡和性別等紛紛在內。

「似乎這是一個包含了每個美國公民信息的資料庫，」Troia說，他是紐約安全公司Night Lion Security的創始人。他指出，自己想搜索的所有人的資料都可以在泄露數據中找到。當《連線》的記者給了10個名字，要求他查找一下時，結果Troia很快找到了其中的6個。

Troia表示：「我不知道這些數據來自哪裡，但它是我見過的最全面的收藏之一。」

從現在的情況來看，還尚不清楚是否有任何犯罪或惡意黑客訪問過該資料庫，但Troia表示，如果想，他們會很容易找到。Troia是在使用Shodan搜索工具時發現了這個資料庫，它可以讓研究人員掃描所有聯網設備。在這個過程中，Troia很快發現了Exactis資料庫，當時並沒有受到任何防火牆的保護。

隨後，Troia與Exactis和FBI聯繫，說明了他的這一發現。而該公司也採取了措施對數據進行保護，使其不再能夠公開訪問。 截至目前，Exactis沒有回應《連線》的置評請求。

除了Exactis泄露信息的廣度外，其深度更讓人印象深刻：每個記錄都包含了遠遠超出聯繫信息和公共記錄的條目，比如超過400條個人信息的變數：是否吸煙、宗教信仰、是否養狗或貓、以及諸如潛水等各種各樣的信息。《連線》也分析了Troia分享的數據樣本並確認了其真實性，不過在某些情況下信息已過時或不準確。

在沒有Exactis確認的情況下，受數據泄露影響的人數難以統計。Troia發現了兩個版本的Exactis資料庫，其中一個似乎是在他觀察伺服器期間新添加的。兩者都包含約3.4億條記錄，分為約2.3億條消費者記錄和1.1億條商業聯繫記錄。Exactis在其網站上宣稱自己擁有2.18億人的數據，其中包括1.1億美國家庭以及總計35億「消費者，商業和數字記錄」。

最近，在公共網路上泄露可訪問用戶資料庫的事件層出不窮，涉及從健康信息到軟體公司存儲的密碼緩存等所有內容。一位來自安全公司UpGuard多產的研究人員Chris Vickery，已經多次發現過這樣被泄露的資料庫，從9300萬墨西哥公民的選民登記記錄到220萬被懷疑犯罪或恐怖主義的「高風險」世界檢查風險篩查資料庫。

但如果Exactis泄露的信息包含了2.3億人，那麼這將成為年度最大的數據泄露事件之一，甚至比2017年涉及1.475億人的Equifax數據泄露事件還要大，儘管比去年10月雅虎的30億賬戶數量少一些。不過，值得注意的是，在Exactis泄漏事件中，與之前的事件不同，這些數據不一定是被惡意黑客竊取的，只在互聯網上公開曝光了。但是，像Equifax泄漏事件一樣，絕大多數人在Exactis泄漏事件中可能並不知道自己的信息存在於其資料庫中。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！