研究人員發(fā)現(xiàn)View Media的不安全數(shù)據(jù)桶，包含3900萬美國公民記錄

研究人員發(fā)現(xiàn)了一個屬于View Media的不安全數(shù)據(jù)桶，其中包含近3900萬美國公民記錄。

賽博新聞研究小組發(fā)現(xiàn)了一個屬于在線營銷公司View Media的不安全數(shù)據(jù)桶。這個存儲桶包含近3900萬美國公民記錄，包括他們的全名、電子郵件和街道地址、電話號碼和郵政編碼。

數(shù)據(jù)庫保留在一個可公開訪問的amazonwebservices（AWS）服務器上，允許任何人訪問和下載數(shù)據(jù)。繼8月早些時候CyberNews報道的3.5億封電子郵件泄露事件之后，這是今年夏天我們第二次遇到包含如此大量用戶數(shù)據(jù)的無安全保護的Amazon存儲桶。

7月29日，exposed View Media bucket被亞馬遜關閉，不再可訪問。

若要查看您的電子郵件地址是否已暴露在此或其他安全漏洞中，請使用我們的個人數(shù)據(jù)泄漏檢查器。

桶里有什么數(shù)據(jù)？

公開可用的Amazon S3存儲桶包含5302個文件，包括：

700份針對性電子郵件和直郵廣告活動的工作聲明文檔存儲在PDF文件中59個CSV和XLS文件中，共包含38765297個美國公民記錄，其中23511441個記錄是唯一的

這些用戶記錄文件是根據(jù)營銷公司的營銷活動所針對的地點和郵政編碼創(chuàng)建的，其中包括美國境內人員的全名、地址、郵政編碼、電子郵件和電話號碼。

除了工作聲明文檔和用戶記錄外，這個存儲桶中還有數(shù)千個用于各種營銷材料的文件，例如橫幅廣告、時事通訊和促銷傳單。

公開記錄示例

下面是一些用戶記錄和工作聲明文檔的示例，這些文檔保留在可公開訪問的bucket上。

大多數(shù)CSV文件包含我們假設的目標人口統(tǒng)計數(shù)字或實體營銷材料的用戶記錄。

2018年至2019年期間的營銷活動工作說明文件：

誰擁有數(shù)據(jù)桶？

不安全的Amazon S3存儲桶似乎屬于View Media，這是一家專門從事電子郵件營銷、顯示廣告、設計、托管、直郵、日期銷售和其他數(shù)字營銷服務的在線營銷公司。該公司為論壇媒體和時代傳媒集團等美國出版品牌提供有針對性的營銷服務。

除了數(shù)以百萬計的美國公民記錄外，這個水桶還包括數(shù)千份營銷時事通訊、促銷傳單設計、橫幅廣告和View Media為其客戶創(chuàng)建的工作聲明文檔。

誰有權限？

這個bucket托管在amazonaws服務器上，該服務器已經暴露了一段時間，目前還不清楚是否有壞人訪問了其中存儲的數(shù)據(jù)。

也就是說，不安全的Amazon存儲桶相對來說不需要任何授權就很容易找到和訪問，這意味著任何知道在哪里查找的人都可以下載這些文件。

有什么影響？

即使不安全的Amazon S3存儲桶中的文件不包含高度敏感的個人信息，如社會安全或信用卡號碼，網絡犯罪分子仍可以將數(shù)據(jù)庫中的個人信息用于各種惡意目的：

騙子可以利用暴露人員的姓名、電子郵件地址和電話號碼進行各種各樣的欺詐計劃。簡單的聯(lián)系方式就足以讓垃圾郵件發(fā)送者和網絡釣魚者從多個角度對3800多萬名暴露在外的美國人發(fā)動針對性攻擊，如機器人電話、短信、電子郵件，社會工程活動確定的網絡罪犯可以將這個桶里的數(shù)據(jù)與其他數(shù)據(jù)泄露相結合，建立身份盜用的潛在目標的檔案

數(shù)據(jù)怎么了？

因為我們最初無法確定不安全存儲桶的所有者，所以我們在7月27日聯(lián)系了亞馬遜，幫助他們保護數(shù)據(jù)庫。他們在7月29日關閉了水桶。

然后，我們聯(lián)系了存儲在存儲桶上的工作說明文檔中提到的營銷公司的一位客戶，他在8月21日幫助我們確定了View Media是數(shù)據(jù)庫的所有者。8月24日，我們聯(lián)系了觀點傳媒，就此次泄密事件發(fā)表官方評論。但是，我們沒有收到公司的回復。
責編AJX