与我们合作

专注信息安全领域产品研发,致力于为政府、军工等涉密单位及其它企事业单位提供专业的信息安全产品、解决方案、技术顾问咨询等服务。

有关于信息安全领域及文件加密的问题和我们谈谈吗?

您可以填写右边的表格,让我们了解您的项目需求,我们将会尽快与你取得联系。当然也欢迎您致电我们400电话。

您也可通过下列途径与我们取得联系:

地 址:厦门市集美软件园三期 C08栋 19F

电 话:400-666-0170 / 0592-2565820

官 网:www.tipray.com

客户服务:sales@tipray.com

市场合作:market@tipray.com

快速提交您的需求 ↓

巴西1.2亿纳税人信息遭泄露

发布时间:2018-12-17 来源: 浏览次数:6825次

一台配置错误的服务器于未知的时间暴露了1.2亿巴西公民的纳税人身份证号(Cadastro de Pessoas Fisicas,简称CPFs)。

巴西国民需要在开立银行账户、创建企业、纳税或获取贷款之前,先申请到CPF号码,联系号码与所有者的个人和财务信息绑定,此类信息被泄露/公开,无疑是一种巨大的风险。

cpf-1.jpg

根据InfoArmor的最新研究,2018年3月,一个Apache web服务器被发现配置不当,暴露了存储在其上的数据档案。

默认情况下,Apache Web服务器返回名为index.html的默认文件的内容(如果存在)。如果该名称的文件不存在且目录列表已启用,它将显示所请求文件夹中包含的文件和文件夹,并允许用户下载。

根据下面显示的配置错误的服务器的图像,一定有人将默认的index.html文件重命名为index.html_bkp,这导致Web服务器执行该文件夹中存储的文件的目录列表。这些文件是大小从27兆字节到82千兆字节的数据存档。


暴露的数据库档案(来源:InforArmor)

当InfoArmor打开其中一个档案时,他们发现这是一个数据库文件,其中包含与CPF,个人信息,军事信息,电话,贷款和地址等相关的数据。数据库表(来源:InforArmor)

在尝试联系数据库所有者并监视公开目录时,InfoArmor发现82 GB文件后来被原始的25 GB .sql文件替换。根据存储在目录中的文件类型及其中包含的数据,很可能此目录用于存储数据库备份,还没人意识到文件是公开可用的。虽然InfoArmor永远无法确定谁拥有数据库,但他们能够联系他们认为是托管服务提供商的人。最后,到3月底,目录已得到保护,文件不再可用。

目前尚不清楚是否有其他研究人员或犯罪分子在脱机之前发现了这些数据。“主要问题是这种高度敏感和文件加密数据是如何在第三方服务器上上线的,公然违反所有可能的安全性,合规性和隐私基础?还有谁可以访问这些数据及其副本?巴西政府需要进行彻底的调查,以确定谁应该承担责任。”网络安全公司High-Tech Bridge的首席执行官兼创始人Ilia Kolochenko表示。

通过确保名为index.html的文件(即使是空文件)位于文件夹中,可以防止此数据泄漏。这会阻止目录列表的公开,因此文件永远不会被暴露。或者,可以使用Apache和Nginx的各种方法禁用目录清单。禁用目录列表和索引时。html文件或其他默认文档不位于请求的文件夹中,服务器将使用404 not Found错误消息进行响应。

推荐新闻

怎样才能选到好的上海图纸加密机构?

2018-03-14

在小到生活用品大到机械设计、建筑工程等诸多领域都会有关键性的图纸设计过程,而保障商业机密的上海图纸加密机构就是保护...

部分政府官网“主动泄密”,是对个人隐私的冒犯和伤害 | 新京报快评

2017-11-14

▲景德镇市政府信息公开网截图。图片来自澎湃新闻 现代社会中,个人隐私和...

印度国有电信运营商内部网站存漏洞,超4.7万员工信息泄露

2018-03-07

根据《印度经济时报(The Economic Times,ET)》及多家国外媒体的报道,法国安全研究人Robert...

二季度勒索软件受害者增长47%

2021-08-02

网络安全公司Digital Shadows近日跟踪分析31个网络泄漏站点信息后发布了一份新的勒索软...

北美高端奢侈品百货遭遇大规模数据泄露事件

2018-04-08

加拿大著名百货公司哈德逊湾(Hudson's Bay)于当地时间4月1日发表声明称,旗下高端连锁百货 Saks F...

Copyright ©2006-2021 厦门天锐科技股份有限公司

在线
客服

在线客服服务时间:24小时

客服
热线

400-666-0170
0592-2565820
7*24小时客户服务热线
点击上方电话,免费通话

返回
顶部