最初發(fā)布于2019年9月3日
嚴(yán)重性：High

類型：ElasticSearch數(shù)據(jù)庫

大小：300mb，占65800條記錄S

受影響的國家：美國、加拿大、多個(gè)歐洲國家、加勒比國家、南非、剛果民主共和國、澳大利亞、新西蘭、，

我們在網(wǎng)站星球的安全研究團(tuán)隊(duì)最近發(fā)現(xiàn)了過去幾個(gè)月內(nèi)網(wǎng)站建設(shè)者和設(shè)計(jì)師服務(wù)公司Clover Sites，Inc.的第二起事件。Clover Sites，Inc.是部委品牌的子公司。一位網(wǎng)絡(luò)安全專家聯(lián)系他們，最初向他們通報(bào)了一次數(shù)據(jù)泄露，隨后該泄露被關(guān)閉。不久之后，我們自己的白帽黑客發(fā)現(xiàn)了另一個(gè)數(shù)據(jù)泄漏，留下了脆弱的數(shù)萬名牧師和會眾成員。

客戶數(shù)據(jù)泄露3分散數(shù)據(jù)泄露3教會神職人員全名或客戶的其他聯(lián)系人3客戶的直接電話號碼3計(jì)費(fèi)電子郵件3計(jì)費(fèi)地址3支付客戶信用卡號的最后4位3支付金額、定期付款、計(jì)費(fèi)日期3內(nèi)部備忘錄和記錄3客戶電子郵件通信3端口、路徑，和數(shù)據(jù)存儲信息
服務(wù)器IP地址

影響

由于一家教會網(wǎng)站設(shè)計(jì)公司發(fā)生泄漏，我們認(rèn)為影響將是最小的。然而，由于此次泄密中提供的數(shù)據(jù)，可以通過多種方式加以利用，例如……

身份盜竊

有記錄，包括個(gè)人身份信息（PII）、賬單詳細(xì)信息，甚至教會神職人員和志愿者的個(gè)人詳細(xì)信息，任何惡意人士都很容易聲稱代表該組織。因此，他們可以使用教會或任何附屬個(gè)人的身份開立財(cái)務(wù)賬戶，并為自己的利益募集捐款。

聯(lián)系信息，包括賬單地址、直接電子郵件和電話號碼

客戶的購買和取消信息

競爭優(yōu)勢

網(wǎng)站設(shè)計(jì)和/或咨詢領(lǐng)域的任何競爭對手都可以輕松地利用這些數(shù)據(jù)為自己謀利。無論是降低定價(jià)、竊取不滿意的客戶，還是以其他方式向Clover網(wǎng)站的客戶推銷，這種漏洞都很容易導(dǎo)致他們的公司失去當(dāng)前和潛在的新業(yè)務(wù)。營銷機(jī)構(gòu)、網(wǎng)頁設(shè)計(jì)專業(yè)人士和其他銷售相同或類似服務(wù)的人現(xiàn)在已經(jīng)把他們的目標(biāo)受眾的詳細(xì)信息擺在了銀盤上！

關(guān)于一位不開心的客戶后來取消了他們的服務(wù)的注釋

CloverSite客戶的痛點(diǎn)

關(guān)于客戶服務(wù)錯誤的內(nèi)部注釋

仇恨犯罪

由于針對宗教組織和在在過去的幾年里，人們擔(dān)心會有另一種情況發(fā)生。擁有教會管理人員和賬單地址的詳細(xì)信息——通常與主寺廟的地址不同——因此有人可以輕松地將其用于自己的犯罪計(jì)劃。

也有一些客戶不是基督教會的變體，而是猶太教堂，這導(dǎo)致了一系列最壞的反螨分子可能會利用此次泄漏中提供的數(shù)據(jù)。

泄漏中包含的一個(gè)猶太教堂的數(shù)據(jù)，記錄了逾期付款

狀態(tài)：Clover Sites，Inc.——根據(jù)更好的商業(yè)局（BBB）的說法，這是一家未經(jīng)認(rèn)證的企業(yè)——尚未公開披露我們的團(tuán)隊(duì)意識到他們今年經(jīng)歷的兩次數(shù)據(jù)泄漏。盡管就這起數(shù)據(jù)事件進(jìn)行了幾次嘗試并請求置評，但Clover網(wǎng)站在發(fā)布時(shí)并未回應(yīng)或置評。

Prevention：防止此類數(shù)據(jù)泄漏的最簡單方法是為云托管數(shù)據(jù)庫實(shí)現(xiàn)安全密碼。在本例中，ElasticSearch實(shí)例由設(shè)備搜索引擎Shodan和BinaryEdge編制索引，使其容易受到web用戶的攻擊。三葉草網(wǎng)站——作為部級品牌旗下的一個(gè)品牌——表示它們正在“進(jìn)行調(diào)整，以符合”通用數(shù)據(jù)保護(hù)條例（GDPR）的要求。一旦他們真正合規(guī)，我們可能就不會再看到他們客戶的數(shù)據(jù)面臨風(fēng)險(xiǎn)。什么是網(wǎng)站星球

Website Planet是網(wǎng)頁設(shè)計(jì)師、開發(fā)者、數(shù)字營銷人員和在線創(chuàng)業(yè)者的首要權(quán)威。我們?yōu)槿魏稳颂峁┯杏玫墓ぞ吆唾Y源，從初學(xué)者到經(jīng)驗(yàn)豐富的專業(yè)人士，我們?yōu)樽约旱恼焙驼\實(shí)感到自豪。

我們的道德安全研究團(tuán)隊(duì)發(fā)現(xiàn)并披露了一些最具影響力的數(shù)據(jù)泄漏，這是我們?yōu)檎麄€(gè)網(wǎng)絡(luò)提供的免費(fèi)社區(qū)服務(wù)。

總結(jié)

以上是生活随笔為你收集整理的报告：教会网站建设者离开神职人员"志愿者数据易受攻击的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。