包括居民個人數據在內的 80 多個美國市政當局的敏感信息在大規模數據泄露中易受攻擊

這一違規行為損害了公民的實際地址、電話號碼、身份證、稅務文件等。 由于獨特的文檔數量眾多且類型多樣，因此很難估計此次泄露事件中暴露的人數。無需密碼或登錄憑據即可訪問此信息，并且數據未加密。

發生了什么？

100 多個美國城市似乎在使用同一產品，mapsonline.net，由一家名為 PeopleGIS 的美國公司提供。這些城市的數據存儲在幾個錯誤配置的 Amazon S3 存儲桶中，這些存儲桶與 MapsOnline 共享類似的命名約定。 因此，我們相信這些城市正在使用相同的軟件解決方案。我們的團隊聯系了該公司，此后水桶已被固定。

PeopleGIS 是一家位于馬薩諸塞州的公司，專門從事信息管理軟件。馬薩諸塞州的許多城市以及康涅狄格州和新罕布什爾州等周邊州的一些城市使用他們的軟件和平臺來管理各種數據。

我們的掃描儀顯示了 114 個以相同模式命名的 Amazon Buckets，揭示了與 PeopleGIS 的聯系。其中，28 個似乎配置正確（意味著它們不可訪問），86 個無需任何密碼或加密即可訪問。

這意味著有 3 個選項：

• PeopleGIS 創建了存儲桶并將其移交給他們的客戶（所有市政當局），其中一些人確保正確配置了這些存儲桶；
• 存儲桶是由 PeopleGIS 的不同員工創建和配置的，關于這些存儲桶的配置沒有明確的指導方針；
• 市政當局自己創建了存儲桶，使用 PeopleGIS 關于命名格式的指導方針，但沒有任何關于配置的指導方針，這可以解釋員工知道與否的市政當局之間的差異。

哪些數據易受攻擊？

我們的道德網絡安全研究人員團隊發現了 80 多個錯誤配置的 Amazon S3 存儲桶，其中包含與這些城市相關的數據，總計超過 1000 GB 的數據和超過 160 萬個文件。 公開的文件類型因市政當局而異。這種差異和涉及的市政當局數量意味著無法明確估計在這次違規中易受傷害的人數。

圖為：泄露文件示例：房地產稅法案。敏感信息已編輯。

暴露的文件類型包括營業執照、居住記錄（例如契約）、稅務信息和政府工作申請人的簡歷。泄露中暴露的信息包括（但不限于）：

• 電子郵件地址
• 實際地址
• 電話號碼
• 駕駛執照號碼
• 房產稅信息
• 個人照片（駕駛執照上）
• 房源照片
• 建筑和城市規劃

圖為：泄露文件示例：緊急和危險化學品清單表格。敏感信息已編輯。

一些易受攻擊的文檔已被編輯，但它們是使用標記等透明工具進行數字編輯的。這意味著找到它們的人可以在照片編輯器中更改文檔的對比度級別并查看編輯后的信息。 這意味著即使是經過編輯的文檔也可能在這次違規中受到攻擊。

圖：暴露文件的一個例子：駕駛執照。敏感信息已編輯。

違規行為可能導致這些城市的公民大規模欺詐和盜竊。地方政府數據庫中包含的數據具有高度敏感性，從電話號碼到營業執照再到稅務記錄，極易被不良行為者利用。 這些信息中的大部分應該只能由政府和公民訪問，這意味著有人可能通過冒充政府官員來欺騙個人。

有哪些風險以及如何保護自己

圖為：公開文件示例：財產登記表。敏感信息已編輯。

身份盜竊： 泄露中暴露的大量 PII（個人身份信息）和私人詳細信息可能會讓壞人很容易偽裝成其他人并竊取他們的身份。 這種違規行為使身份盜用成為一種特別危險的風險，因為不良行為者獲得的信息越多，他們就越有可能成功。

網絡釣魚、欺詐和詐騙： 大量易受攻擊的財務和機密記錄可能會讓黑客冒充政府官員進行網絡釣魚、欺詐或詐騙公民。

盜竊： 暴露的住宅信息，如房屋計劃、契約和業主信息，可以讓攻擊者深入了解他們的目標。他們還可以使用這次入侵中的信息來尋找更脆弱的獵物，例如老年人。

文件操作： 這種風險取決于市政當局如何使用配置錯誤的存儲桶中的數據。如果文件僅用于備份存儲，則幾乎沒有屬性值操縱的風險。但是，如果市政當局積極使用這些存儲桶中的數據，則可能會覆蓋文件以操縱財產價值、個人稅務信息和其他方法。

贖金： 攻擊者可以從存儲桶中下載文件，然后將其擦除并將數據贖回城市。

不幸的是，上面的列表并不全面，網絡犯罪分子總是在開發新的方法來利用互聯網上的任何易受攻擊的人。

盡管大多數電子郵件客戶端都有阻止垃圾郵件和網絡釣魚企圖的方法，但它們并非 100% 有效。 從看似可靠的來源收到意外電子郵件時，請勿打開任何附件。 網絡釣魚電子郵件通常使用恐嚇策略來強迫用戶打開附件。 如果您不確定自稱是政府雇員的個人的電子郵件或電話，請致電他們的部門。 如果他們在聯系您時沒有提供部門，則他們可能與政府無關。這通常會讓您驗證附件是否合法。

如果發生數據泄露，政府應盡快通知潛在的弱勢公民。