报告:以零售为主的二手电子产品业务泄露客户ID”数据泄露中的指纹

这篇文章泄露了客户数据,谁受到了影响?谁泄露了数据?客户影响数据泄露的状态保护您的数据如何以及为什么我们报告数据泄露什么是网站星球?

最初出版于2020年11月17日
公司名称和地址:美国加利福尼亚州的TronicsExchange,Inc。

泄漏大小:超过260万个文件(包括80000张身份照片和大约10000个指纹样本)。

受影响人数:80000+

数据存储格式:AWS S3 Bucket

受影响国家:美国S

A美国二手电子产品销售商,从事零售业务,由于缺乏安全措施,已暴露其客户的数据。该公司之前以GreeneElectronicsExchange(GEEx)的名义运营,后来更名为TronicsExchange。

在对服务器漏洞进行随机扫描的过程中,网站Planet研究团队发现TronicsExchange的AWS S3存储桶没有受到保护。进一步的调查使我们的团队确定,该公司遭受了破坏性的破坏,暴露了260万个文件——可能是该公司的整个客户数据库——尽管这一点尚未得到证实。

泄露的客户数据

大多数泄露的信息都包含在。巴布亚新几内亚。jpg和。gif图像文件和包含个人识别信息(PII)的数据,例如:

驾驶执照S3IDS
指纹S
自拍照
从移动设备获取的电子产品照片
接收S
运输标签,包括完整地址信息

更具体地说,由于政府颁发的驾驶执照以图像格式存储,TronicsExchange允许暴露多个PII实例,包括:

全名
出生日期
驾照持有者照片3住址
发行日期
到期日期
Gender
空气颜色
眼睛颜色
高度和重量
驾照类别
ID和驾照号码

谁受到影响

2012-2015年间,大部分加州居民在加州不同购物中心(商场)参观了TronicsExchange商店,购买或出售了电子设备。

2015年,该公司停止了包括在线和零售业务在内的所有业务。

谁泄露了数据

tronicsExchange是一家美国公司,拥有零售业务,买卖二手电子产品,包括手机、平板电脑、笔记本电脑和相机。客户可以到TronicsExchange零售店销售其二手电子设备,以换取即时现金付款,还可以购买二手设备和维修设备。

据该公司称,其现有的购物中心信息亭网络“每年都有数百万购物者”,该公司补充称,购物中心是其电子交易业务最“方便”的运营场所。

客户影响

目前尚不清楚泄漏的程度,包括有多少未经授权的方能够访问泄漏的数据(如果有的话)。如果这些数据是由恶意黑客获取的,那么就存在着严重的身份欺诈风险,以及针对泄密者的各种其他欺诈行为。

TronicsExchange配置错误的存储桶包含大量个人信息,包括可被恶意黑客利用的个人身份信息,对受泄漏影响的人造成严重的财务、社会和声誉损害。此外,鉴于政府发行的文件被曝光,恶意用户可能会在不同的平台和机构之间进行身份欺诈。用户的真实相貌、官方文件副本和联系方式可以被用来窃取身份。

信用卡欺诈和身份盗窃2

身份盗窃是一种欺诈形式,恶意用户窃取个人信息,如某人的法定姓名、出生日期和实际地址,以便以合法形式假定该身份,并进行财务欺诈以牟利。

用户详细信息通常用于开立银行账户、注册信用卡或申请官方文件。

对于个人来说,目前明显存在的危险是,成为信用卡欺诈或身份盗窃的受害者在财务和声誉方面都具有极大的破坏性。此外,身份欺诈的受害者在经历后相当长一段时间内都会受到负面影响,因为修复信用记录非常耗时,而金融中介机构无法保证完全恢复损失的资金。

数据泄露的状态我们的团队于2020年10月12日发现了该漏洞,并于2020年10月14日向亚马逊AWS披露了所有发现。我们的团队试图联系TronicsExchange,但由于该公司列出的电子邮件地址无效且其网站处于脱机状态,因此未能成功。在2020年10月20日进行后续检查时,发现铲斗已充分固定。

保护您的数据

在这种特殊情况下,TronicsExchange客户几乎无法保护自己。他们本可以做的最重要的事情是在将手机出售给TronicsExchange之前清除设备上的所有信息。更有力的预防措施可能包括坚持对文件的某些部分进行编辑,尤其是地址和其他唯一的数字或数字。

指纹通常不会被零售店,甚至大型商业商店要求。因此,如果在零售店进行常规销售时要求客户提供指纹,客户应保持警惕,并考虑寻找其他店主。该公司的政策是获取客户信息,包括身份检查,但这些数据必须保存在足够安全的条件下,包括加密和密码保护。

为了更安心,客户可以选择获得Equifax、益百利和TransUnion等公司提供的专业身份证和信用历史保护/补救服务。

我们报告数据泄露的方式和原因。然而,考虑到大多数数据泄露从未被受影响的公司发现或报告,传达当前的风险信息可能会有问题。因此,我们试图识别使人们面临风险的现有在线漏洞,以便更好地为他们在网上面临的风险做好准备。

作为一个组织,我们遵循道德黑客的原则,我们始终在法律的管辖范围内工作。我们只调查随机发现的不安全和不受保护的数据库。我们从不针对特定的公司,我们总是将所有发现报告给相关部门,包括受影响的公司本身。

通过报告这些泄露,我们帮助使互联网对每个人都更安全。什么是网站星球

Website Planet是网页设计师、数字营销人员、开发者和在线企业的头号资源。你将为每个人找到有用的工具和资源,从初学者到专家,以及报告网络安全的最新发展。诚实和透明是我们的首要任务。

我们有一个经验丰富的道德安全研究专家团队,他们发现并披露了严重的数据泄露,作为在线社区免费服务的一部分。这包括唐纳德·特朗普2020年竞选应用程序和酒店预订平台中的一个漏洞,该漏洞暴露了敏感数据。

阅读我们如何测试五种流行的网络主机,看看它们有多容易被黑客攻击。

Published by

风君子

独自遨游何稽首 揭天掀地慰生平

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注