导语:有100多家汽车经销商的客户和员工的姓名,地址,电话号码和社会安全号码等一系列详细信息已经泄露在网上,而这一切都拜集中记录系统以及其低劣的安全性所赐。

如果你在近几年来买了一辆汽车,你的个人信息很可能已经以某种形式泄露在互联网上了。

有100多家汽车经销商的客户和员工的姓名,地址,电话号码和社会安全号码等一系列详细信息已经泄露在网上,而这一切都拜集中记录系统以及其低劣的安全性所赐。

这个集中记录系统是由位于美国爱荷华州数据库软件公司DealerBuilt开发和运营的,这个系统为美国各地的汽车经销商提供销售管理,是一个集销售,客户关系和员工工资需求的中央系统。

上周,MacKeeper的安全研究人员发现有128个经销商系统(为人所熟知的LightYear机械设备),由于其没有进行任何加密或其他安全保障,已被备份到DealerBuilt的中央系统,任何人都能够看到备份的内容。

这个数据库是在Shodan上搜索到的(Shodan是一个用于搜索连接到互联网的公开的和不安全的数据库和设备的搜索引擎),主机上的873端口,通常由“rsync”协议所使用,该协议能够远程同步两个不同计算机之间的文件副本。

一些数据库已经共享到了ZDNet,以便于进行查证,其中包括新泽西州的Winner Ford,乔治亚州的 Chrysler Dodge Jeep Ram和威斯康星州的Vans Honda以及伊利诺斯州丹维尔市的Toyota。

数据库中全是敏感信息

每个数据库包括多个数据表,每个数据表包含了销售数据,员工之间的聊天记录(其中还包含了在某些情况下谈论奖金的记录),工资单数据以及客户名称和地址。这个数据库还存储了一些敏感信息,如客户的社保号,当然也包括了在这些经销商工作的员工的社保号。

这可能会使那些客户或员工面临更高的风险,比如他们的身份可能被那些罪犯盗用,甚至以他们的身份提交虚假纳税申报表。

目前尚不清楚这些泄露的数据的确切数量,但是这个数据的总量就包含了几百万条的记录 —— 可能多达500万条。我们联系了那些详细信息列在数据库中的客户,核实了他们的姓名和电话号码,以及他们所属的汽车经销商。

我们所联系的经销商也证实了他们是DealerBuilt的客户。

“我很震惊”,我们所联系的一位经销商业主说,“这完完全全地震惊到我了,我现在有一大堆问题想问。”另一个经销商当听到他们的客户数据泄漏后,立即询问应该如何通知他的客户。他表示要把他的系统断网,然后突然就挂断了电话。

另一家汽车经销商经理说,他“非常关注”此次事件的进展,但当谈到DealerBuilt时,他便拒绝予以置评。

DealerBuilt没有说明该公司是如何处理数据安全的,但其网站却已表示,其系统“提供非常高水平的安全性,只允许企业内部的人在获得批准后才能访问您希望他们看到的信息”。

本周一,DealerBuilt的首席技术官Adam Brown在接受电话采访时,拒绝对此次事件发表评论,而第二天已联系不上他了。

一位安全研究人员在其博客中说:“发生这种大规模的数据泄漏,只不过是另一个痛苦的教训罢了。这仅仅是因为私人信息和敏感数据在未经加密的情况下或没有以现代数据安全实践而进行存储。

这些rsync备份目前已经被保护起来,但是该数据并没有得到该公司的认可。正如研究人员所说,“目前还不清楚有多少人可能已经访问了这些数据。”

源链接

Hacking more

...