巴西1.2億納稅人資訊遭洩露
一臺配置錯誤的伺服器於未知的時間暴露了1.2億巴西公民的納稅人身份證號(Cadastro de Pessoas Fisicas,簡稱CPFs)。
巴西國民需要在開立銀行賬戶、建立企業、納稅或獲取貸款之前,先申請到CPF號碼,號碼會與所有者的個人和財務資訊繫結,此類資訊被洩露/公開,無疑是一種巨大的風險。
根據InfoArmor的最新研究,2018年3月,一個Apache web伺服器被發現配置不當,暴露了儲存在其上的資料檔案。
預設情況下,Apache Web伺服器返回名為index.html的預設檔案的內容(如果存在)。如果該名稱的檔案不存在且目錄列表已啟用,它將顯示所請求資料夾中包含的檔案和資料夾,並允許使用者下載。
根據下面顯示的配置錯誤的伺服器的影象,一定有人將預設的index.html檔案重新命名為index.html_bkp,這導致Web伺服器執行該資料夾中儲存的檔案的目錄列表。這些檔案是大小從27兆位元組到82千兆位元組的資料存檔。
暴露的資料庫檔案(來源:InforArmor)
當InfoArmor開啟其中一個檔案時,他們發現這是一個數據庫檔案,其中包含與CPF,個人資訊,軍事資訊,電話,貸款和地址等相關的資料。
資料庫表(來源:InforArmor)
在嘗試聯絡資料庫所有者並監視公開目錄時,InfoArmor發現82 GB檔案後來被原始的25 GB .sql檔案替換。根據儲存在目錄中的檔案型別及其中包含的資料,很可能此目錄用於儲存資料庫備份,還沒人意識到檔案是公開可用的。雖然InfoArmor永遠無法確定誰擁有資料庫,但他們能夠聯絡他們認為是託管服務提供商的人。最後,到3月底,目錄已得到保護,檔案不再可用。
目前尚不清楚是否有其他研究人員或犯罪分子在離線之前發現了這些資料。“主要問題是這種高度敏感和機密的資料是如何在第三方伺服器上上線的,公然違反所有可能的安全性,合規性和隱私基礎?還有誰可以訪問這些資料及其副本?巴西政府需要進行徹底的調查,以確定誰應該承擔責任。”網路安全公司High-Tech Bridge的執行長兼創始人Ilia Kolochenko表示。
通過確保名為index.html的檔案(即使是空檔案)位於資料夾中,可以防止此資料洩漏。這會阻止目錄列表的公開,因此檔案永遠不會被暴露。或者,可以使用Apache和Nginx的各種方法禁用目錄清單。禁用目錄列表和索引時。html檔案或其他預設文件不位於請求的資料夾中,伺服器將使用404 not Found錯誤訊息進行響應。