从此厄瓜多尔再无隐私:所有公民的个人详尽信息均遭泄露,维基解密创始人阿桑奇也受影响
vpnMentor 公司的研究人员发现,一家市场营销公司从公共来源收集了厄瓜多尔公民的大量个人信息并将其存储在不安全的服务器的公开数据库中。
这个遭暴露的数据库包含2000万居民的记录,这些信息来自厄瓜多尔政府户籍机构、汽车协会 Aeade以及厄瓜多尔国家银行。另外某些记录是已逝人员的信息。目前厄瓜多尔共有约1650万名公民。
维基解密创始人朱利安·阿桑奇的信息也遭暴露,此前他曾避难于厄瓜多尔驻伦敦大使馆内。
这起数据泄露事件令人担忧的地方在于它暴露的信息深度。除了一般泄露事件中出现的信息如全名、姓名、出生日期、出生地、家庭住址、邮件地址、家庭电话、工作电话、移动电话和纳税人编号外,还包括更多细颗粒度信息如婚姻状况、结婚日期(如有)、死亡日期(如有)、受教育水平,甚至还包括家庭成员的信息。
研究人员在博客文章中指出,“对于每条记录,我们能够查看每个人的母亲、父亲和配偶情况。我们还能够查看家庭成员的社会保障号码。”另外,研究人员表示能够通过社保号码获取每个家庭成员的记录。
被暴露信息远不止这些。该市场营销分析公司收集的数据还包括汽车的多种信息如车牌、厂商、型号、购买日期、最近的注册日期以及如车型这样的技术详情,所有的这些都可通过公民的可识别号码关联起来。银行信息包括账号状态、银行卡余额、贷款信息和个人所在银行支行的位置和联系信息。另外还包括个人的工作信息如员工姓名和地址、职位、工资信息和工作起止日期。
总的来说,这些庞大的数据可使任何攻击者交叉引用并结合数据拼凑出个人及其丰富完整的人生经历。
市场营销分析公司
这台服务器位于迈阿密。vpnMentor 公司的研究人员将其追溯至厄瓜多尔公司 Novaestrat。后者在收到通知后已将服务器拿下。
目前尚不清楚 Novaestrat 为何存储着关于厄瓜多尔公民如此多的个人信息,也不清楚该公司是如何收集到这些数据的。该公司自称为提供“数据分析、战略市场营销和软件开发服务”的咨询公司。
Vectra公司的安全分析负责人 Chris Morales 表示,“为何这种级别的源自政府的个人信息会给到一家市场营销分析公司?它这样做的目的是什么?数据保护的第一要则是不持有数据。尤其政府分享个人数据的对象是一家第三方私营企业这一事实让人不寒而栗。”
研究人员表示,这些信息如此详尽,使得厄瓜多尔公民易受源自欺诈、身份窃取和社工攻击的严重影响。他们写到,“尽管数据泄露事件已结束,但被暴露的数据可为受影响个人造成长久的隐私问题。这些信息导致个人易受邮件和电话欺诈风向。例如,欺诈者可伪装成需要经济帮助的朋友或家人。他们可通过遭暴露的个人信息构建信任并圆谎。”
这些数据泄露事件也对厄瓜多尔的企业造成影响。除了暴露个人信息外,这起事件还暴露了和位于厄瓜多尔的多家企业的详情,包括纳税人的可识别号码以及每家公司的地址和联系信息。该数据库还列出了企业的法定代表人并提供了这些人的详细信息。
KnowBe4.com 公司的安全意识倡导人 Javvad Malik 表示,“厄瓜多尔发生的这起泄露事件是本已数不清的云数据库遭暴露事件的最新案例。但鉴于记录的数量之多和数据的敏感性之高,它造成的影响是巨大的。更让人担心的是,儿童的数据被盗,可导致犯罪分子设置虚假身份或者以受害者的名义贷款。”
这起事件让人不禁想起影响整个美国所有成年人的 Equifax 数据泄露事件以及剑桥分析公司丑闻。
Malik 补充道,“企业和政府应该加固数据库的安全,确保不可遭公开访问。可能更重要的一点是,在创建如此大规模的数据库之前,政府和企业应该询问如此大规模地收集数据是否是必要的、合法的、他们是否能够妥善地确保它的安全以及数据泄露事件将带来什么样的影响。”
原文链接
题图:threatpost
本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。