美国国家信用协会111G敏感个人信息遭泄露

事件背景

几个月前,我们曾揭露有超过1.43亿美国人的个人信息从Equifax系统中被盗,日前UpGuard网络风险小组发现了一家金融公司内部存在新的数据泄露,其中包括三大信用机构编制的用户信息。这几次时间上高度集中的数据泄露,彻底暴露了客户的信用记录等隐私,并且突显出了单次数据泄露可能带来的种种危险。

 

位于佛罗里达州坦帕的一家信用维修服务公司,将来自美国国家信用协会(National Credit Federation)的111 GB的内部客户信息,暴露在了一个可公开下载的数据存储库中。将成千上万的客户客户信息暴露在公共互联网上。泄露的内容包括客户姓名、地址、出生日期、驾驶执照信息和社会安全卡信息、三家主要信用机构的信用报告,以及包含详细财务记录的私人信贷信息、信用卡和银行账户号码等。

幸运的是,没有迹象表明这些数据有被窃取的痕迹,在这期间任何访问存储库网址的人都可以完整访问全国信用联合会的数据,这其实也突出了企业急需保护他们的数据并验证其配置是否存在风险。

 

事件还原

2017年10月3日,UpGuard网络风险小组的主管Chris Vickery发现了一个亚马逊网页服务器的云存储桶,它被配置为公共访问,允许任何Web用户进入存储库的URL来访问和下载桶中的内容。(它的子域名是“crm – mvp”,可能指的是“客户记录管理”或“客户关系管理”)这些猜测似乎被存储库的内容所证实,47000个文件中,大部分是PDF和文本文档,包含了国家信用联盟的客户敏感信息。

这些文件猜测是国家信用联合会与公司交易期间编制的,如公司网站上所说  :“首先和NCF代表讨论客户的财务状况,然后基于客户信用报告的项目讨论如何调整客户的信用评分。”和说法一致,存储仓库中有三个数据库:客户提交给NCF的个人信息和财务细节、NCF为客户创建的个人信用蓝图以及来自Equifax,Experian和TransUnion三大信用报告机构提供的数据。

 

客户提交给NCF的个人文件是高度敏感的,这些文件的曝光让成千上万的人暴露于身份伪装和金融攻击中。客户的驾驶证照片,信息表格等文件,都提供了敏感的个人信息,如全名、出生日期、地址和财务状况等。

 

除此之外还有更多更危险的数据,比如社会安全卡的照片,它可以泄露出客户的社会安全号码。部分文件中甚至包含完整的客户银行卡账号和信用卡账号信息。这些都可以被犯罪者用来进行身份伪装窃取,损害NCF客户的经济利益。

 

个人信用蓝图则是包含大量敏感信息的客户数据,从抵押贷款信息到客户的信用卡支付账单应有尽有。数据库中还存有NCF雇员计算机桌面的屏幕记录视频,用来对员工进行客户登记的情形进行记录。这些视频应该是专为客户进行制作的,包含大量个人信息。最后,则是无数三大信用机构制作的个人信用报告。

意义

此事件中客户的数据并没有被妥善保护,任何互联网用户都可以浏览下载这些文件。这些信息的敏感性说明了当今网络仍面临巨大挑战。为了确保云泄露事件不再发生,企业应认真投入时间和资源进行全面的监控。

(完)