国外平安网站 Safetydetectives 钻研团队发现,中国社交媒体治理公司笨鸟(Socialarks)透露了不平安的 ElasticSearch 数据库,导致超过 400GB 的个人资料数据对外透露,当中包含几位知名人士和网红。
笨鸟公司成立于 2014 年,是一家为跨境 B2B 企业提供销售线索举荐与转化及 ABM 营销服务的公司,其总部位于深圳,在北京、上海、广州等地均有分支机构。
报道称,此次泄露受影响的数据蕴含来自世界各地至多 2.14 亿人的集体敏感信息,蕴含 3.18 亿条记录,总计 408GB。这些数据根本来自 Facebook、Instagram 以及 LinkedIn 等业余网络的社交图文、影片等。
Safetydetectives 团队在对可能不平安的数据库进行惯例 IP 地址查看期间,发现笨鸟的 ElasticSearch 服务器是对外公开的,没有密码保护或加密性能。
笨鸟公司服务器上不足安全装置,这意味着领有服务器 IP 地址的任何人都能够拜访蕴含数百万个人隐私信息的数据库。
此外,值得注意的是,2020 年 8 月,笨鸟公司也蒙受了一次相似的数据泄露,导致 1.5 亿的 LinkedIn、Facebook 和 Instagram 用户的数据被裸露。
Safetydetectives 发现,笨鸟泄露的集体数据包含:
- 11651162 条 Instagram 用户个人资料;
- 66117839 条领英用户个人资料;
- 81551567 条 Facebook 用户个人资料;
- 55300000 条 Facebook 用户个人资料。
令人诧异的是,平安钻研团队发现的受数据透露影响的配置文件数量与该公司 8 月数据透露中提到的数量雷同。但数据库的大小、托管这些服务的公司以及索引的数量存在很大差别。
从平安钻研团队发现的透露数据中,能够确定人们的全名、寓居国家、工作地点和联系方式等信息,还能间接链接到他们的个人资料。
下图显示了来自 4200 万条记录的按国家 / 地区分类的用户材料样本。
依据 Safetydetectives 网络安全团队负责人 Anurag Sen 的说法,笨鸟此次泄露的全副数据都是从社交媒体平台“刮走”的,这既不道德,又违反了 Facebook、Instagram 和 LinkedIn 的服务条款。
在这些用户的个人资料里,平安钻研人员发现了几位美食博主和其余社交媒体网红的数据。
每条记录都蕴含从有影响力的 Instagram 帐户中抓取的公共数据,包含其履历、个人资料图片、关注者总数、地位设置以及个人信息,例如电子邮件地址和电话号码的联系方式。
Instagram 记录公开了以下详细信息:
- 用户全名;
- 六百多万用户的电话号码;
- 一千多万用户的电子邮件地址;
- 个人资料链接;
- 个人资料图片;
- 材料形容;
- 均匀评论数;
- 关注人数;
- 所在国家;
- 具体位置;
- 罕用标签。
泄露的 Facebook 用户材料包含 4000 万个电话号码、3200 万个电子邮件地址等。
Facebook 记录公开了以下详细信息:
- 用户全名;
- 电子邮件地址;
- 电话号码;
- 所在国家;
- 喜爱、关注和评论数;
- Facebook 链接与个人资料图片;
- 材料形容。
LinkedIn 用户个人资料中透露的电子邮件地址多达 3100 万以上。
LinkedIn 记录显示了以下详细信息:
- 用户全名;
- 电子邮件地址;
- 职务简介,包含职务和资格等级;
- 个人资料链接;
- 用户标签;
- 域名;
- 连贯的社交媒体帐户登录名,例如 Twitter;
- 公司名称和营业利润率。
目前尚不分明该公司如何设法从多个平安起源获取私人数据。
数据抓取景象广泛,如何避免个人信息泄露?
在笨鸟公司的案例中,私人信息是从多个起源取得的,该公司的服务器安全性有余。当提取或泄露包含电话号码、电子邮件地址等私人信息被获取,很可能被利用。大量的数据被发售或提供给其余歹意方,会使数据抓取的潜在结果更加宽泛和重大。
为避免数据泄露,个人用户须要增强防备意识,定期检查所在网站是否平安,设置简单的平安明码,不随便点击电子邮件中的连贯,防止在不平安的 Wi-Fi 网络上应用信用卡并输出明码。
数据抓取是从网站提取私人信息的一种伎俩。因为无缝连贯的在线服务和平台的迅速蔓延,数据抓取在网上已变得司空见惯。
大多数数据抓取齐全是有害的,并且由 Web 开发人员、商业智能分析师和局部企业出于在线市场钻研目标而进行。然而,即便此类数据是非法取得的,如果存储这些数据时没有足够的网络安全性,也可能会产生影响数百万人的大透露。