由于配置不当漏洞,公网某服务器暴露了大量纳税人识别号码以及个人登记号码(CPFs),涉及1亿2千万巴西国民,影响时间段暂时未知。
在巴西国民进行经济活动之前,如开立银行账户、创办企业、纳税或申请贷款等,他们必须申请一个CPF号码。与美国社会保障号码类似,CPF号码与拥有者的财务和个人信息相关联,如果它们被公开,这显然会造成极大的安全风险。
根据InfoArmor的最新研究,于2018年3月发现了一个公网上的Apache Web服务器,由于该服务器配置不当,暴露了服务器存储的所有数据文件。
默认情况下,Apache Web服务器在存在文件index.html的情况下会直接返回该文件的文件内容。如果所访问的指定名称的文件不存在,则会显示根目录列表,显示其中包含的文件和文件夹,并允许任意用户下载。
根据下面展示的图像可知,有人将默认的index.html文件重命名为index.html_bkp,导致Web服务器找不到index.html文件,从而直接显示根目录下的所有文件。这些文件的大小从27M到82G不等。
当InfoArmor打开其中一个文件时,他们发现这是一个数据库文件,其中包含CPF、个人信息、军事信息、电话、贷款和地址等数据。
InfoArmor表示:“每个暴露的CFP号码都与个人的银行信息、贷款、还款、信用和借记历史、投票历史、全名、电子邮件、居住地址、电话号码、出生日期、家庭联系、就业、投票登记号码、合同号码和合同金额有关。”
在试图联系数据库所有者以及监视所暴露的网站目录时,InfoArmor发现一个82GB文件随后被一个25GB的.sql文件替换。
“在最初发现随后的几天,InfoArmor的研究团队试图确定谁是服务器的拥有着,好通知他们。而在此期间,InfoArmor观察到其中一个82GB的文件,已经被一个25GB的.sql文件替换,尽管它的文件名保持不变。”
根据目录所显示的文件的类型以及它们中包含的数据,很有可能使用该目录来存储数据库备份的人员没有意识到这些文件是对外公共的。
虽然InfoArmor无法确定谁拥有这些数据库,但他们能够联系到托管服务的提供商。最后,在3月底,该目录已不再对外公开。
目前尚不清楚是否有其他研究人员或黑客在修复之前发现了这些数据。但目前的问题是为什么这样的数据会出现在第三方服务器上。
“这里暴露的主要问题是,这些高度敏感且机密的数据为何会违反所有的安全性、合规性和隐私性等基本安全,存放在在第三方联网服务器上?还有谁可以访问这些数据及其副本?巴西政府内部需要对此进行彻底调查,以确定是谁的责任”,网络安全公司High-Tech Bridge的首席执行官兼创始人Ilia Kolochenko表示到。
确保根目录下存在名为index.html的文件(可以是一个空文件)来防止数据泄漏。这将防止Apache列出目录下所有文件。
或者,可以使用Apache和Nginx的各种方法禁用目录列表。当目录列表被禁用,而index.html文件或其他默认文件也不存在请求的文件夹中时,服务器将使用404 Not Found消息进行响应。
原文链接:https://www.bleepingcomputer.com/news/security/taxpayer-id-numbers-for-120-million-brazilians-exposed-online/
打赏我,让我更有动力~
© 2016 - 2024 掌控者 All Rights Reserved.