巴西卫星电视提供商曝光的近1000万敏感数据

2018年9月，我使用了像shodan这样的搜索引擎“fofa”，网址是https://fofa.so。我在巴西天空卫视旗下的ELasticsearch数据库中发现超过2.3亿条数据泄露，其中包括720万条用户敏感信息和交易数据，有勒索迹象。

从目前的信息来看，由于该公司是巴西最大的两家国家级多媒体供应商，其客户覆盖整个巴西，预计很快将在巴西引起巨大反响。

而且，通过我们的不断研究，泄露的敏感明文数据不仅达到700多万条，而且还在以每小时数万条的速度持续增长。

值得注意的是，赎金文件几乎与泄露的数据索引同时创建，都是在2018年7月16日清晨。这说明数据库应该有备份和同步机制，这样数据在被删除的同时被还原，这样赎金就没有成功。

据我的监控，直到9月27日，IP才被禁止对公网开放。这说明管理员的安全意识不高。两个月后，管理员发现数据库被泄露和勒索，导致大量用户的敏感数据暴露在公网至少两个月。

一方面，任何攻击者都可以随意浏览用户的私人数据，并利用这些数据来策划一系列网络钓鱼和社工攻击。另一方面，攻击者还可以添加、删除、查询和修改数据，特别是因为其中包含货币交易信息。攻击者可以借此伪造交易数据，非法获取经济利益。

巴西天空卫星电视公司，巴西领先的多媒体提供商。它成立于1996年，并于2015年被AT&T收购。经过20多年的发展，它不仅拥有巴西最大的高清电视平台，用户总数也在700万左右，在巴西排名第二。

泄露的数据记录了公司用户的敏感信息（如开户时间、电子邮件、ip、生日、电话、地址、密码等），以及每个用户购买的服务账单（服务涉及硬件和软件，如多媒体视听服务的类型，使用的信号接收器类型和产品序列号、信号调制器类型、产品序列和这些服务的支付状态等）。

此外，虽然此次泄密还泄露了密码的密文，但加密方法是目前安全的BCryp算法，攻击者在短时间内没有有效的手段破译密码。

我注意到，这一漏洞似乎还涉及支付账单，如果被黑客利用，可能会导致财务纠纷。

◆来源：tumblr

◆本文版权归原作者所有，如有侵权请联系我们及时删除