安全研究人员周二称,今年初一个包含逾 1.23 亿个美国家庭信息的大型数据库被发现暴露在互联网上,而且它没有采取任何安全措施。
网络安全公司 UpGuard 的安全研究员称,这个云端存储的数据库是市场营销分析公司 Alteryx 放在网上的。它曝光了美国几乎每个家庭的个人信息。这些安全研究员指出,这次信息泄露可能会让用户遭遇到各种恶意的网络攻击活动,包括从发布垃圾信息到盗用身份信息。
曝光的数据库尽管没有提及用户的姓名,但是它仍然包含了很多具体的个人信息,包括家庭住址、年龄、性别、受教育程度、职业和婚姻状况。此外,它还包含抵押物和财务信息、手机号码以及家庭中孩子的数量。
“从家庭住址和联系人信息到抵押物所有权和财务变化情况,再到具体的购买行为分析,这些被曝光的数据完全揭露了美国消费者的生活情况。”UpGuard 公司的安全研究员克里斯-维克里(Chris Vickery)和丹-奥苏利文(Dan O'Sullivan)在其分析报告中写道。
最近发生的一连串数据库入侵事件让消费者对其个人信息的安全感到焦虑不安。今年 9 月,在信用评级公司 Equifax 披露犯罪分子已盗走了 1.45 亿个美国人的信息后,美国立法者开始要求这些企业对于它们收集数据的对象负责。
上述数据库是在今年 10 月在亚马逊 AWS 服务的 S3 云存储空间被发现的。任何拥有 AWS 账户的人都可以访问这个数据库。
这个数据库包含有属于 Alteryx 合作机构 Experian(与 Equifax 竞争的消费者信用评级机构)和美国人口调查局的大量数据组。Alteryx 公司显然购买了 Experian 公司的 ConsumerView 营销数据库——其中包含有大量公开信息和个人信息。
Alteryx 和 Experian 公司均未对此发表评论。但是,Alteryx 公司表示,它现在已对这个数据库采取了安全措施。它还在一项声明中有意淡化了这种信息泄密的严重性。
“具体来说,这个数据库只包含一些市场营销数据,包括汇总的、看不出身份的信息。它主要提供给我们的客户用于分析市场情况。”Alteryx 公司说,“这个数据库中的信息并不会给任何消费者带来被盗用身份的风险。”
Experian 公司也对此次泄密事件发布了类似的论调。
“这是 Alteryx 公司的问题,与 Experian 公司的任何系统无关。”该公司发言人说,“Alteryx 公司已证实数据库中的信息不包含任何个人的姓名或身份信息,也不会给任何消费者带来被盗用身份信息的风险。我们已得到 Alteryx 公司的保证,他们会立即采取相应的补救措施。”
UpGuard 的安全研究员则不认可这种说法。
“对于肆无忌惮的市场营销员、垃圾信息发送者以及身份盗窃者来说,这些被曝光的数据可能具有非常大的价值,因为这些数据基本上是可靠的,而且包含的信息非常丰富。”安全研究人员说,“这个大型数据库包含有很多潜在受害者的具体信息,例如‘抵押物所有权’,它的价格将远远高于一般被曝光的信息。”
相关文章
