某市场营销公司数据库泄露800万美国居民隐私信息

一个不安全的数据库暴露了来自美国800万居民的个人信息，这些个人隐私皆因在线调查，抽奖和申请免费产品试用而记录在数据库中。

现如今网络上有不少调查网站会为用户提供免费的产品使用，并且还有机会参加抽奖活动。而这一切只需提供你的个人信息即可享受，调查公司会把这些个人隐私用于以后的营销活动或寻找潜在客户。

GDI基金会成员的独立安全研究员Sanyam Jain发现了这个一个不安全的Elasticsearch，只要知道IP，任何人都可以直接访问数据库中的数据。

在查看Jain提供给BleepingComputer的数据样本时，可以清楚的看到这些记录包含了很多个人信息，例如全名，地址，电子邮件地址，电话号码，出生日期，性别和IP地址。下图是某条数据的展示。

每条数据记录中还包括referer请求头或提交信息的页面详情。这些页面主要都和在线抽奖，免费样品申请和个人信息调查有关。

无论用户参加什么优惠活动，最终都会要求他们提交个人信息。

这些信息被提交后，最终将存储在Jain发现的数据库中。

数据库所有者

当发现不安全的数据库时，大多数研究人员所做的第一件事就是尝试确定谁拥有它。不幸的是，这通常很困难。

Jain发现许多数据记录都有一个包含userenroll.com的字段。但访问此域名时，页面显示它属于名为PathEvolution的在线营销公司。

起初没有和业主取得联系，因此Jain联系了管理数据库的亚马逊，提醒他们这有个不安全的数据库，建议联系公司确保其安全。

最终，我通过发现PathEvolution是一家名为Ifficient的公司的子公司，而该公司将自己描述为“市场营销”公司。

在给BleepingComputer的一份声明中，Ifficient声称他们在亚马逊联系后于2019年5月11日处理了不安全的数据库。并且他还进一步告诉我们，尽管Jain在数据库中看到了1.3亿条记录，但由于其中存在大量重复的数据，受影响的人数比想象中要少得多。

“此次存在安全漏洞的数据库包含的信息有限，涉及约800万人。我们在收到亚马逊的通知后采取了必要措施，于数小时内解决了这个安全漏洞。需要说明的是，这个数据库中的数据有很多重复数据，真实泄露数据量没有想象中的多。

我们公司非常重视隐私安全。这个数据库中泄露的信息并不符合数据泄露相关法规所定义的个人信息。我们将致力于加强我们的安全防御，并根据数据泄露通知的法规，通知可能受影响的个人（如果有的话）。”

不过，我们依旧认为这些所泄露的信息是“个人信息”，于是我们很快收到了该公司的回复。

“根据几乎所有适用的州数据泄露法规，此信息不符合个人信息的定义。值得注意的是，我们不会获取SSN号，驾驶执照或州ID号，或金融帐号或支付卡号。无论如何，我们目前正在采取措施通知真正受到影响的个人，会为这些人提供身份监控服务。“

负责任的披露漏洞信息很有必要

当研究人员找到暴露在公网数据库时，在许多情况下这些公司都不会回复他们，即使回复，通常都不会很感激。当然，Ifficient告诉我们，他们很欣赏试图保护互联网上的数据的独立研究人员。

“我们非常感谢他人告知我们有关数据安全的任何信息，我们也非常重视我们拥有的所有信息的安全性。我们参与此事调查的任何研究人员以表示感谢。”

Jain告诉BleepingComputer，在向公司报告这些数据库时如果得到了感谢而不是法律威胁是很难得的。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://www.bleepingcomputer.com/news/security/unsecured-survey-databa se-exposes-info-of-8-million-people/