不安全的數(shù)據(jù)庫顯示敏感信息的電影連鎖客戶

一位研究人員說，一個被曝光的數(shù)據(jù)庫顯示了一家秘魯電影院連鎖店客戶的敏感信息。

一位安全研究人員周一說，一個不安全的數(shù)據(jù)庫在互聯(lián)網(wǎng)上打開了成千上萬的電影迷的敏感信息，供任何人查看。這些信息包括全名、電子郵件地址、未加密密碼、部分支付信息，以及與秘魯Cineplanet公司進(jìn)行采購的電影愛好者的政府號碼。

開放數(shù)據(jù)庫，任何擁有正確IP地址的人都可以在網(wǎng)絡(luò)瀏覽器上訪問，它還公開了公司忠誠度計劃成員的信息，包括就業(yè)和婚姻狀況。沒有跡象表明網(wǎng)絡(luò)分子訪問了這些數(shù)據(jù)，盡管這不能排除。

存儲在云服務(wù)器上的數(shù)據(jù)庫不再在網(wǎng)上公開。星期四被封鎖了。

Cineplanet沒有立即回復(fù)記者的置評請求。該公司在其網(wǎng)站上列出了南美的大約40個劇院位置，其中23個位于首都利馬。

這次曝光標(biāo)志著一個最新的例子，敏感的個人信息被保留在云數(shù)據(jù)庫中，這是一個持續(xù)存在的問題，影響到世界各地的隱私。由于他們提供的靈活性和節(jié)省，公司正在將客戶數(shù)據(jù)轉(zhuǎn)移到云服務(wù)器上。但是許多組織沒有IT專業(yè)知識來安全地建立這些數(shù)據(jù)庫。在過去一年中，數(shù)據(jù)庫暴露了來自戒毒康復(fù)中心的病人記錄、數(shù)百萬美庭的信息以及求職者的薪資期望。

發(fā)現(xiàn)該數(shù)據(jù)庫的研究人員AnuragSen在周一發(fā)表了他的發(fā)現(xiàn)，并與CNET分享了這項研究結(jié)果。他說，該數(shù)據(jù)庫似乎只保存了一個月的記錄，每天Sen觀察到的網(wǎng)站上出現(xiàn)了大約150萬條新記錄。

目前，保持?jǐn)?shù)據(jù)庫安全的最簡單的方法是使用密碼保護(hù)。然而，許多管理云數(shù)據(jù)庫的軟件工具在默認(rèn)情況下不會啟用密碼保護(hù)。研究人員稱，即使密碼保護(hù)是默認(rèn)設(shè)置，建立數(shù)據(jù)庫的IT人員也往往會在不知不覺中禁用它。

有多少個暴露的數(shù)據(jù)庫沒有密碼保護(hù)？“比你所能想象的還要多，”克里斯·維克里（Chris Vickery）說。

一個潛在的解決方案是加密，它在將數(shù)據(jù)存儲在云上之前對數(shù)據(jù)進(jìn)行擾序處理。這項技術(shù)正處于早期階段。

森說，Cineplanet數(shù)據(jù)庫顯示了大約25萬個DNI數(shù)據(jù)。這些數(shù)據(jù)似乎指的是件。這是一種ID的形式，用于旅行，訪問政府服務(wù)和投票在秘魯。

在數(shù)百萬條記錄中，更難衡量有多少密碼和其他獨特的信息被曝光。對于黑客來說，這些數(shù)據(jù)將是很有價值的，他們可以嘗試使用暴露的密碼登錄到更敏感的帳戶，比如電子郵件或帳戶。因為如此多的互聯(lián)網(wǎng)用戶重復(fù)使用他們的密碼，這些類型的攻擊對黑客來說是非常有利可圖的。

對于身份竊賊來說，這也是很有價值的，特別是婚姻狀況和支付信息等細(xì)節(jié)。盡管沒有跡象表明黑客一直在濫用Cineplanet數(shù)據(jù)，但身份盜竊專家說，對待數(shù)據(jù)庫暴露就像黑客出去竊取你的信息一樣嚴(yán)肅。這意味著關(guān)注您的支付卡欺詐交易，并注意欺詐者可能在釣魚攻擊中使用您的個人信息。