New Report:未知网络爬虫所导致的数据泄露

iso60001  6天前

我们先前公布了一些关于个人数据的数据泄露报告。其中一个案例的特点是有一个MongoDB数据库,其中包含大量废弃的LinkedIn数据,这些数据在10月5日首次被标识可对公众开放。

截至今天,随着更多类似的数据出现按在网上,这类数据泄露案例的发生数量正在持续增加。

你已被爬虫抓取信息

总而言之,我们可以确认现在有66147856个独特的记录,暴露在同样海量的被收集的数据中,其中有不同的“条目”,包括:

  • 一个人的全名,个人或专业的电子邮件,他的位置信息,技能,雇佣历史——大概全部取自他们的LinkedIn档案。

驻留在不同的IP上第三方数据库,由于在MongoDB实例中由于缺乏权限验证而在公网暴露。

22.jpg

由于数据集结构中缺乏可识别模式,我们不能确认MongoDB数据库的所有者,但是,这些数据已被上传到HaveIBeenPwnd系统,因此您可以检查你的相关文件是否已被抓取。

它不包含任何敏感的个人数据,如信用卡详细信息或密码,但它们确实包含许多私人信息,如个人的专业背景、姓名、电话号码、电子邮件地址、地址,甚至他们的IP。

网络爬虫是否合法?

长话短说,事先未经个人书面同意或关于服务条款允许的数据爬取是非法的。然而,事情并不是那么简单,这个问题的答案可能因情况而异,这取决于所爬取的数据将被如何使用。此外,如何获得信息也很重要,即它是手动获得的还是使用各种软件程序获得的。由于在网站上显示的数据是供公众使用的,所以将这些信息复制到私人计算机当然是合法的。然而,如果以任何违背所有者最大利益的方式使用这些信息,那么它就完全是非法的。

如何不被爬取信息:基本步骤

数据爬取是从没有采取必要措施保护敏感的网页中窃取敏感数据的简单方法。为了确保我们的私人信息不会被网络罪犯或骗子所窃取,我们所有人都可以做些事情。以下是其中的一些措施:

  • 当在网上创建新文件或新帐户时,尽量只提供最低限度的个人信息。

  • 分析你计划公开在网上的数据是否会对你产生伤害。

  • 对你的银行帐户和你的社会网络帐户使用不同的电子邮件地址和密码。

  • 考虑您已经在网路上共享的其他隐私信息,以及这些信息与您现在公开的信息是否可能结合产生新的风险。

  • 始终阅读服务条款,查看什么样的隐私信息您需要与网站或应用程序共享。

  • 联系网站的支持服务人员,以确保敏感数据存储是可靠的。

什么是GDPR?

当你听到“个人数据”这个词时,GDPR或通用数据保护条例就会对其生效。该法律从2018年5月25日起实施,对欧盟和欧洲经济区内的所有个人以及向这些地区外输出的敏感数据提供数据及隐私保护。这意味着,未经公民事先书面同意,收集、处理、销售和购买来自这些地区的公民的私人信息是非法的。而且,如果一个企业在美国经营,并且使用了欧盟公民的私人信息,GDPR也可以适用。

不遵守法律,并暴露GDPR规定的敏感数据(姓名、地址、电话号码、电子邮件地址、IP、职称、Cookies等)可能导致高达2000万欧元的超大罚款。

结论

总之,我们现在生活的许多方面都通过互联网相连,包括社交网络、云服务、银行账户、电子邮件、网上商店等。这意味着你的许多敏感信息都可能处于危险之中。你可能认为像电子邮件地址、电话号码或IP地址这样的数据不像信用卡信息那么重要,安全风险更低,但是当你客观仔细地考虑你的电子邮件包含什么内容时,就会发现事实上我们经常把所有的信息放在一个地方。

当你浏览你的电子邮件时,你会经常发现它们实际上包含很多敏感的个人数据,比如联系人、税单、发票、照片、其他账户的重设密码,甚至信用卡密码!我们经常没意识到一个恶意的攻击者可以轻易地获得这些信息。只需要窃取一个电子邮箱就可以达成。网络攻击者可以利用这些私人信息窃取你的身份,并以你的名义进行金融交易,包括贷款和新建银行账户等。通过访问你的日历、计划或旅行日程,这些攻击者可以了解你的房子何时是空的,方便他们可以闯入或做出更糟糕的事情。

不要让“只发生在名人或重要CEO身上”的想法误导你,现实中四分之一的电子邮件账户都会被黑客攻破。即使这样,你还依然认为你的非敏感数据是真的不“敏感”吗?

原文链接:https://blog.hackenproof.com/industry-news/new-report-unknown-data-scraper-breach/

最新评论

昵称
邮箱
提交评论

友情链接:FOFA FOEYE BCSEC BAIMAOHUI 安全客 i春秋

nosec.org All Rights Reserved 京ICP备15042518号