国外平安网站 Safetydetectives 钻研团队发现,中国社交媒体治理公司笨鸟(Socialarks)透露了不平安的ElasticSearch数据库,导致超过400GB的个人资料数据对外透露,当中包含几位知名人士和网红。
笨鸟公司成立于 2014 年,是一家为跨境 B2B 企业提供销售线索举荐与转化及 ABM 营销服务的公司,其总部位于深圳,在北京、上海、广州等地均有分支机构。
报道称,此次泄露受影响的数据蕴含来自世界各地至多 2.14 亿人的集体敏感信息,蕴含 3.18 亿条记录,总计 408GB。这些数据根本来自 Facebook、Instagram 以及 LinkedIn 等业余网络的社交图文、影片等。
Safetydetectives 团队在对可能不平安的数据库进行惯例 IP 地址查看期间,发现笨鸟的 ElasticSearch 服务器是对外公开的,没有密码保护或加密性能。
笨鸟公司服务器上不足安全装置,这意味着领有服务器 IP 地址的任何人都能够拜访蕴含数百万个人隐私信息的数据库。
此外,值得注意的是,2020 年 8 月,笨鸟公司也蒙受了一次相似的数据泄露,导致 1.5 亿的 LinkedIn、Facebook 和 Instagram 用户的数据被裸露。
Safetydetectives 发现,笨鸟泄露的集体数据包含:
- 11651162 条 Instagram 用户个人资料;
- 66117839 条领英用户个人资料;
- 81551567 条 Facebook 用户个人资料;
- 55300000 条 Facebook 用户个人资料。
令人诧异的是,平安钻研团队发现的受数据透露影响的配置文件数量与该公司 8 月数据透露中提到的数量雷同。但数据库的大小、托管这些服务的公司以及索引的数量存在很大差别。
从平安钻研团队发现的透露数据中,能够确定人们的全名、寓居国家、工作地点和联系方式等信息,还能间接链接到他们的个人资料。
下图显示了来自 4200 万条记录的按国家/地区分类的用户材料样本。
依据 Safetydetectives 网络安全团队负责人 Anurag Sen 的说法,笨鸟此次泄露的全副数据都是从社交媒体平台“刮走”的,这既不道德,又违反了 Facebook、Instagram 和 LinkedIn 的服务条款。
在这些用户的个人资料里,平安钻研人员发现了几位美食博主和其余社交媒体网红的数据。
每条记录都蕴含从有影响力的 Instagram 帐户中抓取的公共数据,包含其履历、个人资料图片、关注者总数、地位设置以及个人信息,例如电子邮件地址和电话号码的联系方式。
Instagram记录公开了以下详细信息:
- 用户全名;
- 六百多万用户的电话号码;
- 一千多万用户的电子邮件地址;
- 个人资料链接;
- 个人资料图片;
- 材料形容;
- 均匀评论数;
- 关注人数;
- 所在国家;
- 具体位置;
- 罕用标签。
泄露的 Facebook 用户材料包含 4000 万个电话号码、3200 万个电子邮件地址等。
Facebook 记录公开了以下详细信息:
- 用户全名;
- 电子邮件地址;
- 电话号码;
- 所在国家;
- 喜爱、关注和评论数;
- Facebook 链接与个人资料图片;
- 材料形容。
LinkedIn 用户个人资料中透露的电子邮件地址多达 3100 万以上。
LinkedIn 记录显示了以下详细信息:
- 用户全名;
- 电子邮件地址;
- 职务简介,包含职务和资格等级;
- 个人资料链接;
- 用户标签;
- 域名;
- 连贯的社交媒体帐户登录名,例如 Twitter;
- 公司名称和营业利润率。
目前尚不分明该公司如何设法从多个平安起源获取私人数据。
数据抓取景象广泛,如何避免个人信息泄露?
在笨鸟公司的案例中,私人信息是从多个起源取得的,该公司的服务器安全性有余。当提取或泄露包含电话号码、电子邮件地址等私人信息被获取,很可能被利用。大量的数据被发售或提供给其余歹意方,会使数据抓取的潜在结果更加宽泛和重大。
为避免数据泄露,个人用户须要增强防备意识,定期检查所在网站是否平安,设置简单的平安明码,不随便点击电子邮件中的连贯,防止在不平安的 Wi-Fi 网络上应用信用卡并输出明码。
数据抓取是从网站提取私人信息的一种伎俩。因为无缝连贯的在线服务和平台的迅速蔓延,数据抓取在网上已变得司空见惯。
大多数数据抓取齐全是有害的,并且由 Web 开发人员、商业智能分析师和局部企业出于在线市场钻研目标而进行。然而,即便此类数据是非法取得的,如果存储这些数据时没有足够的网络安全性,也可能会产生影响数百万人的大透露。