‎数百万美国人的个人数据被泄露

‎据‎‎The Register报道‎‎,一个Twitter名为‎‎@Lynx0x00的白帽黑客‎‎识别了一个数据库,该数据库承载了超过5625万美国人的个人敏感数据。该数据库使用位于中国东部地区杭州的IP地址存储在中国的计算机上。

‎据黑客称,NoSQL数据库规模庞大,它包含大约 22GB 的私人数据,其中包括敏感信息,包括过去和现在的家庭地址、真实姓名、年龄、关系以及电话号码。更糟糕的是,该数据库无需任何身份验证仍可公开访问。

经过进一步挖掘,发现该计算机是通过阿里云提供的网络托管服务链接到Internet的。 之所以称其为严重的安全隐患,是因为即使研究人员也对信息为何存储在中国计算机上并可以自由访问而感到困惑,这给垃圾邮件制造者和敲诈勒索者提供了利用这些信息的机会。

数据属于佛罗里达州的CheckPeople.com公司。该公司提供了一个“易于使用的平台”,可以帮助人们查找有关任何人的信息,从真实姓名,电话号码到亲戚甚至重罪记录,收取象征性的费用。 但是,现在您不需要访问此网站并付费即可获得所需的信息,因为整个数据现在都可以在位于中国的计算机上访问了。

在给The Register的声明中,CheckPeople称正在调查此事件。“CheckPeople不知道在中国或通过阿里云托管的任何数据库。 CheckPeople的记录存储在美国的安全服务器上。 但是,CheckPeople非常重视安全性问题,并正在对此事进行调查。”

这并不是第一次以这种方式存储和暴露不知情用户的个人数据。 实际上,自2017年以来,数百万美国人的个人详细信息已在网上泄露,包括1.23亿个人的家庭相关数据,Elasticsearch泄露事件中的8,200万公民数据以及Microsoft Azure泄露事件中数百万美国人信息的数百万条短信。