近期，有安全人员在微软云服务器上发现了一个任何人都可访问的数据库，其中包含大约8000万美国家庭的信息，这个数目超过了美国家庭总数的一半。

虽然目前没有任何信息指出这泄露出的24GB数据属于哪个公司，但vpnMentor的研究团队正和Noam Rotem合作——正是他们在Microsoft云服务器上发现了这个数据库——试图找出这个数据库的所有者。

在这个数据库中找到的所有记录都包含“member_code”和“score”这两个关键词，看来这些数据涉及到某种产品的定位跟踪功能。

泄露的家庭数据

如Rotem和Locar发布的报告所述，泄露的数据库似乎是以“家庭”为格式存储信息，而不是像其他以个人为单位的数据记录。

泄露的信息包括：

• 完整住址，包括街道地址，城市，县，州和邮政编码
• 精确的经度和纬度
• 全名，包括名，姓和中间的字母
• 年龄
• 出生日期

除此之外，还有很多并非以明文表示的数据：

• 标题
• 性别
• 婚姻状况
• 收入
• 房主身份
• 住宅类型

“这不是我第一次看到存在未授权问题数据库。但是，这是我第一次看到如此规模的过于敏感的数据的泄露事件，”Rotem和Locar表示：“这个对外开放的数据库可以说是恶意攻击者的金矿。”

影响

虽然目前大规模数据泄露事件可以说变得非常普遍，但这起事件还是造成了罕见的影响。因为，8000万这个数字只是表面上的统计数据，你无法想象这到底涉及到多少人。从目前来看，至少上亿人的收入，住址和出生日期被泄露。

另一方面，安全专家发现数据库中的个人信息中的年龄都在40岁以下，这大概是这些信息唯一的共同点。

其次，每条数据记录都带有“收入”和“房主”这两个标签，这可能与“内部排名系统或者税收统计”有关。

但是，正如vpnMentor的报告所述，这些数据很可能属于抵押贷款公司或保险公司。不过，如果真是这样，那就缺少关于付款，社会安全号码或帐号等信息，一般来说这些都是必备信息。

Rotem曾在今年1月份发现了另一起数据泄漏事件，Amadeus航班在线预订系统存在安全问题，攻击者可以查看和更改数百万国际航空公司客户的航班预订信息。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场：https://nosec.org/home/detail/2538.html
来源：https://www.bleepingcomputer.com/news/security/exposed-databa se-leaks-addresses-income-info-of-millions-of-americans/