WizCase网络安全研究团队发现一个重大漏洞,这个漏洞导致一些美国城市数据遭暴露,在这次暴露事件中,所有这些城市都使用同一个市政网络服务提供商。
这一网络犯罪行为损害了公民的地址、电话号码、身份信息、税务文件等。 由于敏感而独特的文档数量众多且类型多样,因此很难估计此次泄露事件中暴露的人数。而且无需密码或登录凭据即可访问此信息,且数据未加密。
事件经过
在数据泄露事故中,80多个美国城市似乎都在使用mapsonline.net这一产品。这是由一家名为PeopleGIS 的美国公司提供。这些城市的数据存储在几个错误配置的Amazon S3 存储桶中,这些存储桶与MapsOnline共享类似的命名约定。
PeopleGIS是一家位于马萨诸塞州的公司,专门从事信息管理软件。马萨诸塞州的许多城市以及康涅狄格州和新罕布什尔州等周边州的一些城市使用他们的软件和平台来管理各种数据。
通过扫描显示114个以相同模式命名的 Amazon Buckets,这揭示了与 PeopleGIS的联系。其中28个似乎配置正确(意味着它们不可访问),86个无需任何密码或加密即可访问。
这意味着有3个可能:
PeopleGIS 创建了存储桶并将其移交给他们的客户(所有市政当局),其中一些人确保正确配置了这些存储桶;
存储桶是由PeopleGIS的不同员工创建和配置的,关于这些存储桶的配置没有明确的指导方针;
市政当局自己创建了存储桶,使用PeopleGIS关于命名格式的指导方针,但没有任何关于配置的指导方针。
哪些数据易受攻击?
网络安全研究人员团队发现了80多个错误配置的Amazon S3 存储桶,其中包含与这些城市相关的数据,总计超过1000 GB的数据和超过160万个文件。 公开的文件类型因市政当局而异。这种差异和涉及的市政当局数量意味着无法明确估计在这次违规中易受伤害的人数。
图为:泄露文件示例:房地产税法案。
暴露的文件类型包括营业执照、居住记录(例如契约)、税务信息和政府工作申请人的简历。泄露中暴露的信息包括(但不限于):
电子邮件地址
实际地址
电话号码
驾驶执照号码
房产税信息
个人照片(驾驶执照上)
房源照片
建筑和城市规划
图为:泄露文件示例:紧急和危险化学品清单表格。
一些易受攻击的文档已被编辑,但它们是使用标记等透明工具进行数字编辑的。这意味着找到它们的人可以在照片编辑器中更改文档的对比度级别并查看编辑后的信息。 这意味着即使是经过编辑的文档也可能在这次违规中受到攻击。
图:暴露文件的一个例子:驾驶执照。
违规行为可能导致这些城市的公民大规模欺诈和盗窃。地方政府数据库中包含的数据具有高度敏感性,从电话号码到营业执照再到税务记录,极易被不良行为者利用。 这些信息中的大部分应该只能由政府和公民访问,这意味着有人可能通过冒充政府官员来欺骗个人。
有哪些风险以及如何保护自己免受诈骗?
图为:公开文件示例:财产登记表。
身份盗窃:泄露中暴露的大量PII(个人身份信息)和私人详细信息可能会让坏人很容易伪装成其他人并窃取他们的身份。 这种违规行为使身份盗用成为一种特别危险的风险,因为不良行为者获得的信息越多,他们就越有可能成功。
网络钓鱼、欺诈和诈骗:大量易受攻击的财务和机密记录可能会让黑客冒充政府官员进行网络钓鱼、欺诈或诈骗公民。
盗窃:暴露的住宅信息,如房屋计划、契约和业主信息,可以让攻击者深入了解他们的目标。他们还可以使用这次入侵中的信息来寻找更容易上当人群,如老年人。
文件操作:这种风险取决于市政当局如何使用配置错误的存储桶中的数据。如果文件仅用于备份存储,则几乎没有属性值操纵的风险。但是,如果市政当局积极使用这些存储桶中的数据,则可能会覆盖文件以操纵财产价值、个人税务信息和其他方法。
赎金:攻击者可以从存储桶中下载文件,然后将其擦除并将数据赎回城市。
以上仅代表几个方面,网络犯罪分子不断更新新的手段来利用互联网上的任何易受攻击的人。
数据安全建设任重道远
频繁发生的数据泄露事件提醒我们,随着互联网加快发展,包括政府在内的企业和个人,越来越多的数据存储在互联网上,这也意味着在发生网络攻击时,这些数据面临着危险。尤其随着我国智慧城市的建设,物联网和互联网结合使用,一方面方便了社会治理和居民生活,但另一方面,不断收集并流转的大数据也给网络犯罪分子以可乘之机,一旦攻破网络安全防御,丢失损坏数据造成的后果难以预计。因此,在建设数字化转型的同时,更要将安全放置在首位,提前做好网络安全布局,对网络攻击做到未雨绸缪。
参读链接
https://www.woocoom.com/b021.html?id=b290a4c9419240509dce06bc8e190f46
https://securityaffairs.co/wordpress/120477/data-breach/us-municipalities-data-breach.html