当前位置:公众IT
> 技术文章 > 报告:印度云基础设施公司暴露客户数据
最初发布于2019年10月23日
公司:E2E网络托管(前身为Spikecloud)
严重性:High
类型:ElasticSearch数据库
大小:8GB,共有21682731条记录暴露在受影响的国家:主要是India
我们网站Planet的安全研究团队在云基础设施公司E2E Networks Hosting的服务器上发现了一个大型数据库漏洞。网络安全专家还在位于印度的受损服务器上发现了勒索软件记录,然而,目前尚不清楚数据是否确实丢失。以发票形式存在的个人数据和财务信息被曝光,总计超过2100万条记录。
客户数据泄露
银行账户和加密钱包信息等财务细节我们的研究团队能够通过数据库漏洞访问超过2100万条记录。这一级别的违规行为的潜在影响是巨大的,其中一个托管客户的E2E网络是印度汇款服务InstantPay。
记录中包含的大部分信息是个人识别信息(PII)和密码——明文和散列密码的混合,可以使用已知密码表来发现。
还以客户发票的形式披露了一些财务信息,虽然似乎没有披露客户信用卡的详细信息,但发现了一些银行账户的详细信息。
可以通过多种方式利用此次泄露的数据:
在许多公开的记录中,电子邮件地址、用户名和密码在明文中可见,这意味着拥有这些数据的任何人都可以登录客户的E2E网络托管账户并执行任何类型的操作,例如访问文件,更改帐户详细信息,以及访问有关客户的财务和其他数据,包括任何保存的信用卡详细信息。
因为E2E Networks是一家云托管公司,能够登录到客户的帐户意味着可以通过客户的服务器更改网站配置和系统配置。这可能造成的潜在损害是广泛的——尽管这取决于客户帐户上的服务器和应用程序的类型。例如,可以删除节点、更改DNS名称服务器或创建新节点。
P网络犯罪分子梦寐以求的一种做法是利用被盗的凭证来启动新的服务器来挖掘加密货币,并让受害者为其支付费用。这一漏洞恰恰允许——使用客户凭据免费创建新服务器,这将为犯罪分子快速赚取现金。
当PII数据被曝光时,除了公司名称和账单细节之外,这些数据还有被恶意使用的巨大潜力。任何拥有这些数据的人都可以在身份盗窃骗局中使用这些个人数据,声称自己是公司和个人的代表。
当大量电子邮件地址和电话号码被泄露时,网络钓鱼攻击的风险很高。通过点击受害者的财务信息和电子邮件链接,可以增加发送钓鱼信息的可能性。
除了可能导致金融间谍和敲诈勒索的发票细节之外,公司信息也容易受到攻击。例如,我们确定了一个因未付款而被暂停的账户。这些信息可能被用于勒索或羞辱负债公司。
通过实施更强大的安全措施,如加密客户数据和密码以及反恶意软件,可以轻松防止此类数据泄漏。具有讽刺意味的是,E2E Networks Hosting网站上2017年发表的一篇文章显示,它认为自己是网络安全方面的专家,但似乎未能充分保护自己的服务器。
Website Planet是网页设计师、数字营销人员、开发者和在线企业的头号资源。从初学者到专家,你都可以找到工具和资源——诚实是我们的首要任务。
我们有一个经验丰富的道德安全研究专家团队,他们发现并披露了一些最严重的数据泄露,作为整个在线社区免费服务的一部分。你可以阅读我们如何测试五种流行的网络主机,看看它们在这里有多容易被黑客攻击。
版权说明:
12月10日 
80 浏览
5月17日 309 浏览
1月30日 288 浏览
1月30日 274 浏览
1月30日 316 浏览
1月30日 296 浏览
9月13日 6130 浏览
9月13日 5917 浏览
