这篇文章泄露了客户数据,谁受到了影响?谁泄露了数据?客户影响数据泄露的状态保护您的数据如何以及为什么我们报告数据泄露什么是网站星球?
最初出版于2020年12月11日
公司名称和地点:婚姻税免税有限公司,基于United Kingdom
泄漏规模:超过100000个文件,总计约5GB的数据
暴露人数:>100000
数据存储格式:以PDF文档形式列出的目录受影响国家:United Kingdom
一家总部位于英国的公司,专门为英国客户追回婚姻免税基金,遭受了破坏性的数据泄漏,可能导致所有客户个人信息的潜在传播。然而,需要注意的是,我们无法确定导致泄漏的特定服务器漏洞是否真的导致敏感信息落入恶意用户手中。
作为对潜在漏洞进行常规服务器扫描的一部分,网站Planet团队发现婚姻税津贴有限公司错误配置了其WordPress内容管理系统(CMS),从而使目录列表能够供公众查看。这允许任何人浏览网站上存储的所有文件列表。更具体地说,包含客户信息的给客户的信件被写入同一个目录S
漏洞意味着任何试图访问公司目录列表的人都可以这样做,而不会遇到密码保护等基本安全措施。通过访问正确的URL,用户可以访问完整的pipedrive数据库。
泄露的客户数据
所有泄露的数据都包含在。PDF文件,包括个人身份信息(PII),例如:
申请人的全名
申请人的性别3完整的家庭地址
合作伙伴的全名
合作伙伴的性别3客户可以要求的退款金额
缺乏足够的安全性意味着公司允许数十万个显示客户个人信息的PDF文件公开。
根据我们的研究团队,每个客户或夫妇都有两份与他们相关的文件——一份显示每对夫妇详细信息的文件和另一份“谢谢”文件,记录在案,以通知申请人他们的提交已被批准(他们将收到退款)。
谁受到了影响
2016年10月,自该公司成立以来,有超过10万名客户注册了婚姻退税有限公司。
我们的研究团队发现,婚姻退税有超过10万个不安全的PDF文件,每对夫妇保留2个文件,这意味着超过10万个人暴露在泄漏中。
目前,尚不清楚数据泄露是暴露了该公司的全部客户群,还是仅仅暴露了一批10万个文件。
谁泄露了数据
婚姻退税是一家总部位于英国伍尔弗汉普顿的注册公司,为寻求税收减免的已婚夫妇提供行政服务。作为向英国税务局(HMRC)提名该公司为客户的法定代表人的交换,该公司向其客户收取最低99美元以上的税费,此外,对于每一次成功的索赔,该公司还额外收取30%以上的税费。
该公司声称,英国每年有超过450万对夫妇被征收不正确的税款,并为其客户提供了在他们的帮助下索赔高达15000英镑的机会。根据婚姻退税,该公司帮助其客户平均索赔900英镑,估计终身可节省15000英镑。
我们的研究团队发现,泄漏可能发生在2019年8月的某个时候,因为服务器上发现的最早数据与该日期一致。
客户影响
考虑到泄露的信息类型,如果掌握不当,可能会对客户造成严重影响。
A全名、地址、婚姻状况的组合足以让恶意用户进行身份盗窃和欺诈。此外,个人用户详细信息可用于跨其他平台进行欺诈,而受害者不会意识到此类活动正在发生。
因此,通过将定制信息直接发送到目标地址,可能伪装成来自婚姻退税的通信,或者伪装成HMRC,但引用客户的婚姻退税业务,从而获得预期目标的信任,婚姻退税漏洞可能会被用于部署更深层次、更具破坏性的骗局。另一方面,对婚姻退税的影响也值得考虑。鉴于该公司允许其客户及其数据被泄露,这可能意味着它违反了欧盟的《通用数据保护条例》(GDPR)隐私和安全法。该立法适用于任何处理欧盟公民或居民个人数据的企业,或向欧盟居民提供商品或服务的企业。违反GDPR法规的罚款可能高达2000万欧元,或总收入的4%,数据泄露的受害者有权要求赔偿损失。
重要的是,英国计划于2021 1月1日离开欧盟,从而影响GDPR法律如何适用于英国居民。
对个人来说,目前明显存在的危险是,成为身份盗窃的受害者在经济上和名誉上都具有极大的破坏性。此外,身份欺诈的受害者在经历后相当长一段时间内都会受到负面影响,因为修复信用记录非常耗时,而金融中介机构无法保证完全恢复损失的资金。此外,通过“指定代理人”协议,婚姻退税在其客户和英国税务机关之间扮演中介角色。这意味着该公司被授权直接与HMRC处理客户税务事务。如果恶意用户获得了该公司的PDF文件,他们可能会利用这种方式向冒充HMRC的客户发送邮件,并将其婚姻退税业务作为获取进一步信息或财务细节的手段。
数据泄露的状态我们的团队于2020年10月13日发现了该漏洞,并于2020年10月14日立即试图向婚姻退税部门披露其所有发现。
由于未能收到该公司的回复,我们的团队于2020年10月26日首先联系了英国的计算机应急响应团队(CERT)和信息专员办公室(ICO),以确保对泄漏事件进行负责任的披露。
CERT通知网站Planet,该案件属于“个人违约”,因此属于ICO管辖范围。ICO于2020年10月30日回应了网站Planet的担忧,承认了我们的调查结果,并于2020年11月3日再次表示,该案件已被记录在案,可能正在得到解决。
进一步监控显示,2020年11月6日,婚姻退税保护了其服务器漏洞。
保护您的数据
在这种特殊情况下,客户几乎无法保护他们的个人信息。婚姻退税客户成为身份欺诈的潜在受害者,因为该公司没有对其数据服务器提供足够的保护,也没有对包含多条高度敏感信息的文件进行适当的加密。
从客户的角度来看,对要求提供任何类型个人信息的公司进行质量检查是至关重要的,尤其是那些接受委托书并代表客户与政府机构进行交易的公司。因此,对公司进行广泛的尽职调查至关重要,包括检查其历史、当前所有者和现有管理人员。
在这种情况下,婚姻税退税登记在Companys House(英国政府运营的官方公司名单)的邮箱地址,其所有者或管理人员都不容易联系或定位。
我们报告数据泄露的方式和原因。然而,考虑到大多数数据泄露从未被受影响的公司发现或报告,传达当前的风险信息可能会有问题。因此,我们试图识别使人们面临风险的现有在线漏洞,以便更好地为他们在网上面临的风险做好准备。
作为一个组织,我们遵循道德黑客的原则,我们始终在法律的管辖范围内工作。我们只调查随机发现的不安全和不受保护的数据库。我们从不针对特定的公司,我们总是将所有发现报告给相关部门,包括受影响的公司本身。
通过报告这些泄露,我们帮助使互联网对每个人都更安全。什么是网站星球
Website Planet是网页设计师、数字营销人员、开发者和在线企业的头号资源。你将为每个人找到有用的工具和资源,从初学者到专家,以及报告网络安全的最新发展。诚实和透明是我们的首要任务。
我们有一个经验丰富的道德安全研究专家团队,他们发现并披露了严重的数据泄露,作为在线社区免费服务的一部分。这包括酒店预订平台和唐纳德·特朗普2020年竞选应用程序中的漏洞。
阅读我们如何测试五种流行的网络主机,看看它们有多容易被黑客攻击。