錯誤配置的數據庫泄露了 15 萬電子商務買家的信息

安全研究人員發現一個配置錯誤的云托管數據庫泄露了超過 300,000 條記錄，包括電子商務買家的敏感個人信息。

Safety Detectives 的一個團隊于  今年 7 月 25 日發現了泄漏的 Elasticsearch 數據庫，但聲稱該內容自 2020 年 11 月以來已在沒有任何密碼保護或加密的情況下暴露。

在托管公司阿里巴巴沒有回復團隊的外展后，其關閉泄漏的努力迄今為止被證明是失敗的，數據庫所有者的身份仍然是個謎。

所有安全偵探都能夠從 500MB 的數據泄露中確定，所有者是一家中國 ERP 提供商，為在亞馬遜和 Shopify 等平臺上銷售商品的企業提供服務。

報告稱，在 329,000 份暴露的記錄中，約有一半包含買家的姓名、電話號碼、電子郵件、賬單和送貨地址。在某些情況下，賣家姓名、電子郵件地址和賬單信息也被泄露。

報告稱，德國、法國和丹麥的電子商務客戶是其中的一大特色，可能有多達 150,000 名電子商務客戶受到影響。

泄露的數據將成為詐騙者的金礦，他們過去是在后續網絡釣魚和身份欺詐嘗試中重復使用個人信息的高手，旨在獲取更敏感的財務信息。

“家庭地址也可以在數據庫中找到。如果個人身份信息 (PII) 被出售給其他罪犯，這將使入室盜竊/入室盜竊成為真正的可能性。竊賊可能會瞄準那些下高價值訂單的用戶，希望受害者的房子里裝滿了昂貴的商品，”報告稱。

“訂購商品被盜是與泄露訂單詳情相關的另一個風險。跟蹤鏈接、發貨時間、快遞信息、送貨地址和訂單信息為犯罪分子提供了足夠的數據來攔截和竊取用戶訂購的商品。”

如果最終找到數據庫所有者，他們可能面臨 GDPR 和中國新的等效立法《 個人信息保護法》(PIPL)監管機構的調查。