报告:教会网站建设者离开神职人员"志愿者数据易受攻击
最初發布于2019年9月3日
嚴重性:High
類型:ElasticSearch數據庫
大小:300mb,占65800條記錄S
受影響的國家:美國、加拿大、多個歐洲國家、加勒比國家、南非、剛果民主共和國、澳大利亞、新西蘭、,
我們在網站星球的安全研究團隊最近發現了過去幾個月內網站建設者和設計師服務公司Clover Sites,Inc.的第二起事件。Clover Sites,Inc.是部委品牌的子公司。一位網絡安全專家聯系他們,最初向他們通報了一次數據泄露,隨后該泄露被關閉。不久之后,我們自己的白帽黑客發現了另一個數據泄漏,留下了脆弱的數萬名牧師和會眾成員。
客戶數據泄露3分散數據泄露3教會神職人員全名或客戶的其他聯系人3客戶的直接電話號碼3計費電子郵件3計費地址3支付客戶信用卡號的最后4位3支付金額、定期付款、計費日期3內部備忘錄和記錄3客戶電子郵件通信3端口、路徑,和數據存儲信息
服務器IP地址
影響
由于一家教會網站設計公司發生泄漏,我們認為影響將是最小的。然而,由于此次泄密中提供的數據,可以通過多種方式加以利用,例如……
身份盜竊
有記錄,包括個人身份信息(PII)、賬單詳細信息,甚至教會神職人員和志愿者的個人詳細信息,任何惡意人士都很容易聲稱代表該組織。因此,他們可以使用教會或任何附屬個人的身份開立財務賬戶,并為自己的利益募集捐款。
聯系信息,包括賬單地址、直接電子郵件和電話號碼
客戶的購買和取消信息
競爭優勢
網站設計和/或咨詢領域的任何競爭對手都可以輕松地利用這些數據為自己謀利。無論是降低定價、竊取不滿意的客戶,還是以其他方式向Clover網站的客戶推銷,這種漏洞都很容易導致他們的公司失去當前和潛在的新業務。營銷機構、網頁設計專業人士和其他銷售相同或類似服務的人現在已經把他們的目標受眾的詳細信息擺在了銀盤上!
關于一位不開心的客戶后來取消了他們的服務的注釋
CloverSite客戶的痛點
關于客戶服務錯誤的內部注釋
仇恨犯罪
由于針對宗教組織和在在過去的幾年里,人們擔心會有另一種情況發生。擁有教會管理人員和賬單地址的詳細信息——通常與主寺廟的地址不同——因此有人可以輕松地將其用于自己的犯罪計劃。
也有一些客戶不是基督教會的變體,而是猶太教堂,這導致了一系列最壞的反螨分子可能會利用此次泄漏中提供的數據。
泄漏中包含的一個猶太教堂的數據,記錄了逾期付款
狀態:Clover Sites,Inc.——根據更好的商業局(BBB)的說法,這是一家未經認證的企業——尚未公開披露我們的團隊意識到他們今年經歷的兩次數據泄漏。盡管就這起數據事件進行了幾次嘗試并請求置評,但Clover網站在發布時并未回應或置評。
Prevention:防止此類數據泄漏的最簡單方法是為云托管數據庫實現安全密碼。在本例中,ElasticSearch實例由設備搜索引擎Shodan和BinaryEdge編制索引,使其容易受到web用戶的攻擊。三葉草網站——作為部級品牌旗下的一個品牌——表示它們正在“進行調整,以符合”通用數據保護條例(GDPR)的要求。一旦他們真正合規,我們可能就不會再看到他們客戶的數據面臨風險。什么是網站星球
Website Planet是網頁設計師、開發者、數字營銷人員和在線創業者的首要權威。我們為任何人提供有用的工具和資源,從初學者到經驗豐富的專業人士,我們為自己的正直和誠實感到自豪。
我們的道德安全研究團隊發現并披露了一些最具影響力的數據泄漏,這是我們為整個網絡提供的免費社區服務。
總結
以上是生活随笔為你收集整理的报告:教会网站建设者离开神职人员"志愿者数据易受攻击的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 一文搞懂 Java 线程中断
- 下一篇: 怎么在yandex上做广告(yandex