差的做法暴露了2400万财务记录
安全研究员Bob Dianchenko发现了MoreThan 2400万财务和银行记录,无需任何密码保护。
这些数据包括银行和财务文件,与大约10年来的数万个贷款和抵押贷款,其中一些美国最大的银行,包括富国银行和大家群岛。
其他数据来自Citifinancial,Citigroup,汇丰人寿保险和一些美国联邦部门的废弃贷款金融部门。
记录存储在一个Elasticsearch集群中,该集群包含51GB似乎是OCR(光学字符识别)的信用和抵押贷款报告,DiaChenko在博客文章中表示。
他说:“这些文件包含高度敏感的数据,例如社会安全号码,名称,电话,地址,信用历史记录和其他细节,通常是抵押或信用报告的一部分。”
“这些信息将是网络罪犯的金矿,他们将拥有他们需要窃取身份的一切,文件错误纳税申报表,获取贷款或信用卡。”
最终追溯到德克萨斯州德克萨斯州堡垒价值的数据和分析公司的数据和分析公司,涉及TechCrunch,该公司首先报道了Dianchenko的调查结果。
根据父母公司Rocktop Partners,在学习“服务器配置错误”时,提升关闭了服务器,“可能导致了一些与抵押贷款相关文件”。本公司还表示,由第三方取证专家进行调查,并与执法调查员和技术合作伙伴联系。
Ilia Kolochenko,Web Security Company高科技桥梁首席执行官,表示未受保护的云存储和在线公开的无密码数据库是普遍的。
“大型组织在控制和库存下维护他们的数据的宠物,”他说。“众多的供应商和合作伙伴可以迫切需要他们的数据以获得各种合法的商业目的,但不能保持适当的内部安全控制。”
Kolochenko说,第三方风险管理不是银子弹。他说:“相当经常,获得数据的访问是时间敏感的,许多公司倾向于闭上眼睛对第三方安全机制的一些不完美之处,”他说。
“互联网的大规模扫描可能会产生数百个,如果没有批判性,敏感和特权数据的数千个类似的数据库,则在某处托管没有任何保护。”
从合法的角度来看,Kolochenko表示,这些公司的疏忽导致数据曝光可能会对相当大的经济处罚和/或甚至阶级行动诉讼负责。
“访问和处理数据的安全研究人员也应该小心,因为在某些情况下,他们可能会破坏刑法,并将自己暴露在其他法律后果中,”他说。斗中科科很高兴Bridge提供一个名为ImmuniWeb Discovery的免费服务,以帮助组织识别所有外部应用程序,数据库和未受保护的云存储。
IAM Emaggelist的Todd Peterson在安全公司的一个身份中表示,诸如提升的公司有责任以安全的方式处理和管理高度有价值的财务数据。
“离开服务器暴露,没有密码规范,在他们的企业系统中发出严重的漏洞,可以引导任何数量的身份盗窃和欺诈行为,”他说。
为了防止这种数据曝光再次发生,Peterson表示,组织应该遵循这些核心原则:
使用多因素身份验证,尤其是超级用户帐户和特权帐户。教育人员在网络安全上保护数据资产。采取措施保护最有价值的资产,例如实施特权访问管理。遵循良好的治理做法,以确保合适的人有权获得正确的东西。Comforte企业数据保护负责人Jonathan Deveaux表示,如果银行在贷款申请时确保个人数据,但随后将数据移到另一家未受保护的公司,那么这是一个主要的安全差距。
“即使数据在给予公司以进行分析目的时,下一步是为了确保数据在分析它的同时保护数据,”Deveaux说。
他指出,报告中暴露的数据元素之一是社会安全号码,但实际上没有有用的理由为什么分析需要这些数字,这意味着它们可以被屏蔽或令刻标记,而其他数据用于分析目的。
“银行和其他金融公司公司需要真正了解其他各方如何使用他们提供的个人数据,”Deveaux说。“也许是时候他们停止与不做更多以确保敏感数据的公司合作。”
蒂姆埃尔林议长蒂姆Erlin表示,这一案子强调了组织能够检测和修复错误配置的重要性。
“这是一个高度敏感的数据,暴露于愿意寻找它的人,”他说。“将数据和应用程序移动到云端并不神奇地消除其安全职责的组织。”