钱柜娱乐注册

与我们合作

专注信息安全领域产品研发,致力于为政府、军工等涉密单位及其它企事业单位提供专业的信息安全产品、解决方案、技术顾问咨询等服务。

有关于信息安全领域及文件加密的问题和我们谈谈吗?

您可以填写右边的表格,让我们了解您的项目需求,我们将会尽快与你取得联系。当然也欢迎您致电我们400电话。

您也可通过下列途径与我们取得联系:

地 址:厦门思明区珍珠湾软件园一期创新大厦B区7楼

电 话:400-666-0170 / 0592-2565820

官 网:www.tipray.com

客户服务:sales@tipray.com

市场合作:market@tipray.com

快速提交您的需求 ↓

巴西1.2亿纳税人信息遭泄露

发布时间:2018-12-17 来源: 浏览次数:1929次

一台配置错误的服务器于未知的时间暴露了1.2亿巴西公民的纳税人身份证号(Cadastro de Pessoas Fisicas,简称CPFs)。

巴西国民需要在开立银行账户、创建企业、纳税或获取贷款之前,先申请到CPF号码,联系号码与所有者的个人和财务信息绑定,此类信息被泄露/公开,无疑是一种巨大的风险。

cpf-1.jpg

根据InfoArmor的最新研究,2018年3月,一个Apache web服务器被发现配置不当,暴露了存储在其上的数据档案。

默认情况下,Apache Web服务器返回名为index.html的默认文件的内容(如果存在)。如果该名称的文件不存在且目录列表已启用,它将显示所请求文件夹中包含的文件和文件夹,并允许用户下载。

根据下面显示的配置错误的服务器的图像,一定有人将默认的index.html文件重命名为index.html_bkp,这导致Web服务器执行该文件夹中存储的文件的目录列表。这些文件是大小从27兆字节到82千兆字节的数据存档。


暴露的数据库档案(来源:InforArmor)

当InfoArmor打开其中一个档案时,他们发现这是一个数据库文件,其中包含与CPF,个人信息,军事信息,电话,贷款和地址等相关的数据。数据库表(来源:InforArmor)

在尝试联系数据库所有者并监视公开目录时,InfoArmor发现82 GB文件后来被原始的25 GB .sql文件替换。根据存储在目录中的文件类型及其中包含的数据,很可能此目录用于存储数据库备份,还没人意识到文件是公开可用的。虽然InfoArmor永远无法确定谁拥有数据库,但他们能够联系他们认为是托管服务提供商的人。最后,到3月底,目录已得到保护,文件不再可用。

目前尚不清楚是否有其他研究人员或犯罪分子在脱机之前发现了这些数据。“主要问题是这种高度敏感和文件加密数据是如何在第三方服务器上上线的,公然违反所有可能的安全性,合规性和隐私基础?还有谁可以访问这些数据及其副本?巴西政府需要进行彻底的调查,以确定谁应该承担责任。”网络安全公司High-Tech Bridge的首席执行官兼创始人Ilia Kolochenko表示。

通过确保名为index.html的文件(即使是空文件)位于文件夹中,可以防止此数据泄漏。这会阻止目录列表的公开,因此文件永远不会被暴露。或者,可以使用Apache和Nginx的各种方法禁用目录清单。禁用目录列表和索引时。html文件或其他默认文档不位于请求的文件夹中,服务器将使用404 not Found错误消息进行响应。

推荐新闻

儿童安全应用MSpy发生数据泄露,过百万被监控人信息遭曝光

2018-09-06

MSpy 是一款帮助父母对孩子或合作伙伴的电话实施监控的软件,官方声称已有一百万付费用户选择了MSpy。...

美国160多家Applebee餐厅消费者支付卡信息遭泄露

2018-03-09

根据RMH特许经营控股(RMH Franchise Holdings)于周五在其网站上发布的公告来看,旗下拥有和经...

1.4亿美国人敏感数据资料外泄 美联邦机构展开调查

2017-09-15

中新网9月15日电 据美国《世界日报》报道,美国联邦贸易委员会(FTC)14日很不寻常的宣布对Equifax...

多地政府网站泄露贫困户隐私信息 部分已经进行整改

2018-05-02

《新闻和报纸摘要》报道,多地政府网站泄露贫困户隐私信息,目前一些地方政府部门已进行整改。专家表示,扶贫信息公开的方...

总监察长首次提起由多州发起的、关于HIPPA的数据泄露诉讼

2018-12-07

本周,美国12个州的检察长就医疗技术解决方案供应商2015年遭受的数据泄露对MIE公司提起诉讼。 据悉...

Copyright ©2006-2019 厦门天锐科技股份有限公司

返回
顶部