獨立研究員Fabio Castro發現,巴西最大的訂閱電視服務公司Sky Brasil泄露了32.7萬用戶的信息,包括28.7GB的日誌文件和429.1GB的API數據,這些數據顯示姓名,家庭住址,電話號碼,出生日期,客戶端IP地址,付款方式和加密密碼。
“服務器存儲的數據是姓名,電子郵件,密碼,付費電視套餐信息(Sky Brazil),客戶端IP地址,個人地址,付款方式。另外還有設備型號,客戶家中設備的序列號,以及整個平臺的日誌文件。”Castro告訴媒體。
雖然Castro發現了這一事件後通知了Sky Brasil,公司隨後也對數據庫進行了密碼保護。但其服務器至少從10月中旬就開始在Shodan上被編入索引,目前還不清楚數據庫的訪問者數量。
NuData安全副總裁Ryan Wilk表示,Sky Brasil對受信任數據的不當處理令人遺憾,而在此之前,data.gov.uk和WWE這兩家公司發生的事件表明,不需要進行復雜的******,不法分子就可以獲取大量的身份數據,這些數據可以用來創建虛假身份或訪問在線角色。我們已經到了一個特殊的轉折點,在這裏金融和身份網絡犯罪已經成爲一個擁有最基本計算機技能的人可以涉足的領域。
人們對各種平臺泄露用戶信息的事情早已司空見慣,如不久前ElasticSearch服務器暴露了近5700萬美國居民的數據,倫敦的Urban Massage應用程序泄露了30萬客戶的數據,但當面臨數據泄露帶來的損失時,很少有人依然能淡然處之。
正如wilk所說,企業應該重新考慮如何保護和識別用戶,比如通過使用被動生物識別和行爲分析等先進技術使純粹的數據變得毫無價值,從而通過判斷分析用戶的在線行爲更準確地識別用戶。瞭解設備用戶是阻止數據被轉手給其他非法組織的關鍵。