专家发现一个未受保护的Elasticsearch集群,其中包含可识别的在线暴露的俄罗斯公民的税收信息。
来自Comparitech的安全专家与安全研究员Bob Diachenko一起发现了2000万笔属于俄罗斯公民的税收记录,这些记录在网上以明文显示,没有任何保护。
专家们发现了一个未受保护的Elasticsearch集群,其中包含有关2009年至2016年俄罗斯公民的个人身份信息。
“在不安全的服务器上发现了超过2000万俄罗斯税收记录的数据库,任何人都可以使用Web浏览器访问该数据库。” 阅读Comparitech发表的帖子。
“比较技术与安全研究员鲍勃·迪亚琴科(Bob Diachenko)合作,调查了数据泄露情况,其中包括敏感的个人和税务信息。在Diachenko通知位于乌克兰的所有者之后,该数据库已脱机。”
Elasticsearch数据库于2018年5月首次被搜索引擎索引,Diachenko于2019年9月17日发现了它,并于2019年9月20日对其进行了保护。
在Diachenko发现公开数据之前,无法确定是否有人访问过公开数据。专家还透露,该车主居住在乌克兰,但没有透露其身份。
该集群包括多个数据库,其中两个数据库包含有关俄罗斯公民的税收和个人身份信息,这些信息主要来自莫斯科和周边地区。
专家继续说:“从2010年到2016年,第一个数据库包含了超过1400万个人和税收记录,而第二个数据库则包含了从2009年到2015年的600万记录。”
公开的记录包括以下信息:
全名
地址
居住状态
护照号
电话号码
税号
雇主名称和电话号码
税额
威胁参与者可能会使用暴露的数据来进行税收欺诈和欺诈。
“受影响的个人可能会有身份盗用的风险,应密切监视其账户。专家总结说:“尽管我们的团队对俄罗斯税收制度的知识不够精通,但税务欺诈也可能带来风险。”
“潜在的受害者还应该注意有针对性的网络钓鱼和其他欺诈。例如,欺诈者可能会冒充税务官员伪装成窃钱或要求提供其他信息以协助身份盗用。”
个人应该如何防范个人信息数据泄露?
1.使用手机的时候,关闭一些不必要的功能。例如“附近的人”、“常去地点”、“允许搜索”、“允许查看”等功能;
2.不直接使用手机浏览器进行购物,应用程序退出要彻底,不下载来历不明的山寨软件;
3.不要随意连接公共wifi,出门关闭wifi连接功能,家庭网络开启防火墙功能,以免自家网络被蹭,让病毒或恶意攻击乘虚而入;
4.网购谨防钓鱼软件,不要随意打开非HTTPS开头的连接;
5.浏览网站等行为进行身份匿名、属性匿名、关系匿名和位置匿名;
6.防止电脑中毒,不随意打开陌生电子邮件及非HTTPS网址栏开头的网站;
7.经常更改密码,不使用简单密码;
8.多了解一些导致数据泄露的手段和方式增强自身个人隐私数据安全防范意识。
图片来源于网络 素材来源:Comparitech
