歐盟的一家小型零售商使用的軟件供應商將一個包含近八百萬條銷售記錄的數據庫在沒有密碼的情況下暴露在網上。
據 Comparitech 稱,數據庫中的文檔包含銷售記錄,包括客戶姓名、電子郵件地址、地址、購買情況、信用卡號的後四位數字以及其他個人信息。由於數據庫沒有密碼保護,因此任何人都可以找到並訪問其包含的數據。
這家軟件供應商的應用程序從英國亞馬遜(Amazon UK)、Ebay、Shopify、PayPal 和 Stripe 上提取銷售記錄,彙總零售商的銷售數據,以計算歐盟不同國家的增值稅。截至目前,尚不清楚受影響的零售商和客戶的確切數量。
獨立安全研究員 Bob Diachenko 和 Comparitech 的安全研究團隊上個月首次發現了包含 MongoDB 數據庫的公開 AWS 服務器。Diachenko 隨後採取措施以負責任的方式迅速披露了數據洩露,但未經授權的人可能在數據庫中包含的信息最終得到保護之前就已經訪問了這些信息。
數據暴露
服務器上包含的銷售記錄已暴露了大約五天,但網絡罪犯仍有可能在短時間內竊取客戶數據。
在被暴露的數據中,大約有一半是來自 Amazon UK 和 Ebay 的銷售記錄。Shopify、PayPal 和 Stripe 以及其他幾家規模較小的市場和支付系統僅佔數據的一小部分。
不幸的是,對於英國的客戶來說,絕大多數銷售記錄都包含了他們的個人信息,包括姓名、地址、電子郵件、電話號碼、訂單、付款、修改過的信用卡號碼、交易和訂單ID,以及 Strip 和 Shopify 發票的鏈接。亞馬遜的一位發言人確實聯繫了 Comparitech 公司,告訴他們亞馬遜網上商店的電子郵件地址和信用卡信息並沒有洩露。
儘管軟件供應商公開了800萬條銷售記錄,但這並不意味著800萬個人受到了影響,因為每條記錄都是針對單個銷售的,而一個客戶可能涉及多個銷售。
閱讀更多 IT玩家 的文章
