网络安全研究团队vpnMentor最新报告披露,一款应用开发平台的未加密数据库暴露了超过360万应用创作者、网红和企业家的个人信息。网络安全专家Jeremiah Fowler发现这个未设防的数据库包含高达12.2TB的敏感数据。
海量敏感数据裸奔
该数据库既未加密也未设置密码保护,存储着3,637,107条记录,包含用户和应用创作者的姓名、电子邮箱、实际住址以及支付明细等敏感信息。根据Fowler的分析报告,内部文件及数据库名称显示这些数据属于德克萨斯/特拉华州公司Passion.io。
Passion.io提供无代码平台,使创作者、教练和名人等无需技术背景即可构建自己的移动应用。这些应用允许用户提供互动课程,并通过订阅或一次性购买获利。
数据滥用风险严峻
泄露的个人身份信息(PII)包括姓名地址甚至图像,存在重大安全隐患。Fowler警告称,犯罪分子可能利用这些数据进行"钓鱼或社会工程攻击"——这些正是网络犯罪的常见起点。泄露的电子邮箱和购买记录可能被用于冒充可信机构,诱骗受害者透露更多个人或财务细节。
更令人担忧的是,部分用户资料图片涉及儿童,这些图像可能被滥用于身份冒充、创建虚假账户或其他网络诈骗。研究人员指出,即使看似无害的图像也可能"被武器化或用于不道德用途"。
除个人数据外,数据库还包含应用创作者出售的付费视频文件、PDF文档以及内部财务记录,这些数据不仅可能影响创作者收入,还会让竞争对手窥见公司运营细节。
企业响应及时获赞
发现漏洞后,Fowler立即通知Passion.io。该公司反应迅速,当天就限制了数据库的公开访问。Passion.io承认这一发现,表示其"隐私官和技术团队正在修复问题,确保此类事件不再发生"。
数据库安全防护五要点
为避免类似Passion.io的数据泄露事件,企业应落实以下关键措施(虽不能保证绝对安全,但可显著降低风险):
1. 强化认证与访问控制
- 对管理权限实施多因素认证
- 采用基于角色的访问控制限制敏感数据查阅权限
- 严禁数据库在无密码或访问控制状态下暴露
2. 实施静态与传输加密
- 采用强加密协议并安全管理密钥
- 确保所有敏感数据在存储和传输过程中均加密
3. 自动化配置错误检测
- 设置公开暴露和异常访问模式的告警机制
- 使用云安全工具或配置扫描器(如AWS Config、GCP安全指挥中心)实时检测错误配置
4. 定期安全审计与渗透测试
- 不仅测试应用程序,还需检查存储和数据库层
- 对基础设施进行常规漏洞评估和渗透测试
5. 加强技术团队安全培训
- 保持文档更新并在开发过程中执行安全策略
- 确保所有基础设施操作人员掌握云数据库防护、权限管理和风险配置识别技能
扫一扫
465
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
