汽车零售商数据库错误泄露了超过一百万条客户记录

据WebsitePlanet称,一家受欢迎的汽车零售商的数据库配置错误导致 1TB 的记录泄露,其中包括客户的个人信息。
安全研究员 Jeremiah Fowler 向网站建设者网站报告了这一事件,并将记录追溯到位于费城的企业SimpleTire。这家在线轮胎零售商声称拥有超过 10,000 名安装人员和 3000 多个独立供应点的网络。
尽管他向 SimpleTire 发送了“多封电子邮件通知”以负责任地披露他的发现,但 Fowler 声称,在最终被锁定之前,任何有互联网连接的人都可以公开访问这个不受密码保护的数据库超过三周。
目前尚不清楚该数据库在福勒被发现之前公开了多长时间。
SimpleTire 数据库包含超过 280 万条记录,包括近 120 万份订单确认 PDF,其中包含客户姓名、电话号码和账单地址等个人身份信息 (PII)。订单记录中还包含部分信用卡号和有效期。
根据 Fowler 分享的屏幕截图,包括授权安装商、收据编号、产品信息和付款金额在内的订单详细信息也清晰可见。
研究人员警告说,如果黑客设法访问了暴露的数据库,就会面临后续社会工程攻击的风险。
“罪犯可以联系受害者并声称为 SimpleTire 或其中一名安装人员工作,并建议客户他们需要更新他们的付款细节,”他辩称。
“在这种情况下,犯罪分子将掌握购买的内幕消息、订单确认号码,并且可以验证存档卡号的最后四位数字。客户没有理由认为要求更多信息的请求不是来自与他们已经有业务关系的公司的合法电话。”
福勒还呼吁公司建立清晰的沟通渠道和事件响应协议,以处理此类案件。
他总结道:“这可以极大地限制时间敏感信息被曝光、报告给相关公司并最终被限制在公众视野之外的数量。”

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐