據外媒報道,有研究人員發現了一個大型的數據庫,其中包含存儲在亞馬遜網絡(aws)數百萬個歐洲客戶記錄,任何人使用搜索引擎都能查找到這些記錄。
洩露的數據庫共涉及 800 萬條記錄,主要是通過亞馬遜,eBay,Shopify,PayPal和Stripe在內的公司的市場和支付系統API收集到的。
記錄中的數據包括姓名,送貨地址,電子郵件地址,電話號碼,購買的物品,付款,訂單ID,Stripe和Shopify發票的鏈接以及部分編輯的信用卡。此外,還包括成千上萬的Amazon Marketplace Web服務(MWS)查詢,MWS身份驗證令牌和AWS訪問密鑰ID。
由於一個客戶可能會生成多個記錄,所以無法估計有多少客戶受到影響。據稱大約有一半洩露記錄的客戶來自英國,其餘的大部分都來自歐洲其他地方。
為何會洩露?根據Comparitech的數據,這可能與進行跨境增值稅分析的第三方公司有關。亞馬遜查詢可用於查詢MWS API,這可能使攻擊者可以從銷售數據庫中請求記錄。因此,它建議所涉及的公司應立即更改其密碼和密鑰。亞馬遜於 2 月 8 日向涉嫌關閉數據庫的第三方公司開始調查該違規行為。
儘管目前沒有證據表明有人在這些數據不受ekeye保護的情況下訪問過該數據。但這個例子足以證明,客戶信息被洩露是一件多麼簡單的事情。
Comparitech和Diachenko之前發現的例子包括:
自2005年以來,總共有2.5億條客戶記錄留在Elasticsearch上。
一個數據庫,其中包含2.67億個用戶ID,電話號碼和姓名,這些信息留在Elasticsearch上。
在Elasticsearch服務器中,有500萬Adobe Creative Cloud客戶的電子郵件數據庫(2019年10月)。
5700萬美國人的個人詳細信息留在Elasticsearch的營銷數據庫上。
在過去一年,此類違規事件的數量和範圍似乎都在增長。目前針對它們的防禦措施很簡單,在未造成真正的損害之前,應引起重視並有力解決。
而客戶信息遭洩露在亞馬遜也已不止發生一次。
今年1月12日,外媒報道, 亞馬遜在一週內第二次承認,其員工存在不當獲取和分享客戶數據的行為。隨後, 亞馬遜發言人在一份聲明中表示:“對這起事件負有責任的個人已經被解僱,我們正在支持執法部門對他們的起訴。”
而在此前的另一起事件中,亞馬遜表示,它解僱了四名家庭安全公司Ring員工,原因是他們濫用對客戶視頻源的訪問權限。
互聯網的發展,給人們購物帶來了極大的便利,同時也帶來了一定的隱患。信息安全便是一方面。電商類應用因涉及線上交易等業務且與用戶賬戶資金密切相關,往往易成為黑灰產行業攻擊對象,惡意刷券、虛假註冊套取平臺獎勵等事件數見不鮮,一旦應用潛在的漏洞隱患被加以非法利用,造成的損失將難以估量。
對於賣家來講,網站被攻擊、用戶數據洩露可能意味著自己的銷售業績、銷售人群等核心信息將暴露在競爭對手視線之內;
對於買家來講,電商平臺被攻擊,買家的個人信息被曝光,產生的不安全感將會反作用於對購物平臺的信任度下降,終止後續購買行動。
因此,客戶信息安全值得各個電商平臺重視。
閱讀更多 海象跨境 的文章
