汽车零售商数据库错误泄露了超过一百万条客户记录

阅读量403821

发布时间 : 2023-06-01 17:07:04

据WebsitePlanet称,一家受欢迎的汽车零售商的数据库配置错误导致 1TB 的记录泄露,其中包括客户的个人信息。
安全研究员 Jeremiah Fowler 向网站建设者网站报告了这一事件,并将记录追溯到位于费城的企业SimpleTire。这家在线轮胎零售商声称拥有超过 10,000 名安装人员和 3000 多个独立供应点的网络。
尽管他向 SimpleTire 发送了“多封电子邮件通知”以负责任地披露他的发现,但 Fowler 声称,在最终被锁定之前,任何有互联网连接的人都可以公开访问这个不受密码保护的数据库超过三周。
目前尚不清楚该数据库在福勒被发现之前公开了多长时间。
SimpleTire 数据库包含超过 280 万条记录,包括近 120 万份订单确认 PDF,其中包含客户姓名、电话号码和账单地址等个人身份信息 (PII)。订单记录中还包含部分信用卡号和有效期。
根据 Fowler 分享的屏幕截图,包括授权安装商、收据编号、产品信息和付款金额在内的订单详细信息也清晰可见。
研究人员警告说,如果黑客设法访问了暴露的数据库,就会面临后续社会工程攻击的风险。
“罪犯可以联系受害者并声称为 SimpleTire 或其中一名安装人员工作,并建议客户他们需要更新他们的付款细节,”他辩称。
“在这种情况下,犯罪分子将掌握购买的内幕消息、订单确认号码,并且可以验证存档卡号的最后四位数字。客户没有理由认为要求更多信息的请求不是来自与他们已经有业务关系的公司的合法电话。”
福勒还呼吁公司建立清晰的沟通渠道和事件响应协议,以处理此类案件。
他总结道:“这可以极大地限制时间敏感信息被曝光、报告给相关公司并最终被限制在公众视野之外的数量。”

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+111赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66