据悉,该数据库由 TransCredit 运营( TransCredit 是一家位于佛罗里达州杰克逊维尔的运输业商业信用报告机构)。
数据库暴露了哪些数据?
研究人员对数据库信息详细分析后,发现主要暴露以下信息。
·姓名;
· 税号;
· 电子邮件地址;
· 支付历史记录;
· 银行信息;
· 安全号码(SSN);
· 内部登录ID和密码;
· 雇主识别号(EIN)。
暴露数据库的截图之一
暴露的数据库没有密码保护
糟糕的是,研究人员发现暴露的数据库没有任何密码或安全认证,意味着任何可以发现错误配置数据库的人员都可以访问这些数据。
此外,该数据库还面临着被勒索软件团伙破坏的风险,2020 年,47% 的在线 MongoDB 数据库被勒索软件团伙入侵。
值得一提的是,对运输公司来说真正的危险是欺诈和诈骗。该数据库包含足够的信息来实施一系列高度针对性的欺诈或诈骗。掌握“内幕信息”的犯罪分子可能很容易获得用户信任。
数据库暴露时间“已久”
虽然目前尚不清楚该数据库究竟是何时在网上暴露,或者是否被第三方恶意访问,但是,Website Planet安全研究人员早在 2021 年 9 月 17 日就已发现了此错误配置。遗憾的是,直到最近具体细节才被分享。
好消息是,TransCredit 在收到 Website Planet 的“警报”后不久就迅速响应并保护了数据库。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
