中国创企笨鸟 400GB 数据泄露,包含超 2 亿个人信息,知名网红也中招!

芒果果

中国创企笨鸟 400GB 数据泄露,包含超 2 亿个人信息,知名网红也中招!

国外安全网站 Safetydetectives 研究团队发现,中国社交媒体管理公司笨鸟(Socialarks)泄漏了不安全的ElasticSearch数据库,导致超过400GB的个人资料数据对外泄漏,当中包括几位知名人士和网红。

笨鸟公司成立于 2014 年,是一家为跨境 B2B 企业提供销售线索推荐与转化及 ABM 营销服务的公司,其总部位于深圳,在北京、上海、广州等地均有分支机构。

报道称,此次泄露受影响的数据包含来自世界各地至少 2.14 亿人的个人敏感信息,包含 3.18 亿条记录,总计 408GB。这些数据基本来自 Facebook、Instagram 以及 LinkedIn 等专业网络的社交图文、影片等。

image.png

Safetydetectives 团队在对可能不安全的数据库进行常规 IP 地址检查期间,发现笨鸟的 ElasticSearch 服务器是对外公开的,没有密码保护或加密功能。

笨鸟公司服务器上缺乏安全装置,这意味着拥有服务器 IP 地址的任何人都可以访问包含数百万个人隐私信息的数据库。

此外,值得注意的是,2020 年 8 月,笨鸟公司也遭受了一次类似的数据泄露,导致 1.5 亿的 LinkedIn、Facebook 和 Instagram 用户的数据被暴露。

Safetydetectives 发现,笨鸟泄露的个人数据包括:

  • 11651162 条 Instagram 用户个人资料;
  • 66117839 条领英用户个人资料;
  • 81551567 条 Facebook 用户个人资料;
  • 55300000 条 Facebook 用户个人资料。

令人惊讶的是,安全研究团队发现的受数据泄漏影响的配置文件数量与该公司 8 月数据泄漏中提到的数量相同。但数据库的大小、托管这些服务的公司以及索引的数量存在很大差异。

从安全研究团队发现的泄漏数据中,可以确定人们的全名、居住国家、工作地点和联系方式等信息,还能直接链接到他们的个人资料。

下图显示了来自 4200 万条记录的按国家/地区分类的用户资料样本。

image.png

根据 Safetydetectives 网络安全团队负责人 Anurag Sen 的说法,笨鸟此次泄露的全部数据都是从社交媒体平台“刮走”的,这既不道德,又违反了 Facebook、Instagram 和 LinkedIn 的服务条款。

在这些用户的个人资料里,安全研究人员发现了几位美食博主和其他社交媒体网红的数据。

image.png

每条记录都包含从有影响力的 Instagram 帐户中抓取的公共数据,包括其履历、个人资料图片、关注者总数、位置设置以及个人信息,例如电子邮件地址和电话号码的联系方式。

image.png

Instagram记录公开了以下详细信息:

  • 用户全名;
  • 六百多万用户的电话号码;
  • 一千多万用户的电子邮件地址;
  • 个人资料链接;
  • 个人资料图片;
  • 资料描述;
  • 平均评论数;
  • 关注人数;
  • 所在国家;
  • 具体位置;
  • 常用标签。

泄露的 Facebook 用户资料包括 4000 万个电话号码、3200 万个电子邮件地址等。

Facebook 记录公开了以下详细信息:

  • 用户全名;
  • 电子邮件地址;
  • 电话号码;
  • 所在国家;
  • 喜欢、关注和评论数;
  • Facebook 链接与个人资料图片;
  • 资料描述。

LinkedIn 用户个人资料中泄漏的电子邮件地址多达 3100 万以上。

LinkedIn 记录显示了以下详细信息:

  • 用户全名;
  • 电子邮件地址;
  • 职务简介,包括职务和资历等级;
  • 个人资料链接;
  • 用户标签;
  • 域名;
  • 连接的社交媒体帐户登录名,例如 Twitter;
  • 公司名称和营业利润率。

目前尚不清楚该公司如何设法从多个安全来源获取私人数据。

image.png

数据抓取现象普遍,如何防止个人信息泄露?

在笨鸟公司的案例中,私人信息是从多个来源获得的,该公司的服务器安全性不足。当提取或泄露包括电话号码、电子邮件地址等私人信息被获取,很可能被利用。大量的数据被出售或提供给其他恶意方,会使数据抓取的潜在后果更加广泛和严重。

为防止数据泄露,个人用户需要加强防范意识,定期检查所在网站是否安全,设置复杂的安全密码,不随意点击电子邮件中的连接,避免在不安全的 Wi-Fi 网络上使用信用卡并输入密码。

数据抓取是从网站提取私人信息的一种手段。由于无缝连接的在线服务和平台的迅速蔓延,数据抓取在网上已变得司空见惯。

大多数数据抓取完全是无害的,并且由 Web 开发人员、商业智能分析师和部分企业出于在线市场研究目的而进行。但是,即使此类数据是合法获得的,如果存储这些数据时没有足够的网络安全性,也可能会发生影响数百万人的大泄漏。

segmentfault 公众号

阅读 2.8k

SegmentFault 行业快讯
第一时间为开发者提供行业相关的实时热点资讯
avatar
芒果果
SegmentFault 技术编辑

一路走走看看,顺便留下点什么。

3.3k 声望
61 粉丝
0 条评论
你知道吗?

avatar
芒果果
SegmentFault 技术编辑

一路走走看看,顺便留下点什么。

3.3k 声望
61 粉丝
宣传栏