私人信息正在不经意间被泄露!美国五分之一电商网站仍有安全漏洞
6个月前,欧盟(EU)的通用数据保护规定(General Data Protection Regulation,简称GDPR)生效,威胁全球企业如果不妥善处理客户数据,将面临巨额罚款。
据彭博社报道,最新研究表明,这在欧洲产生了影响,但对美国网络用户影响不大。
一项最新调查显示,由于网站安全措施不力,美国慈善捐赠者、政党支持者和网上购物者的个人信息继续悄悄泄露到互联网上。
总部位于费城的搜索营销公司Seer Interactive周一说,美国五分之一的电子商务网站仍在让客户面临风险。
Seer董事亚当梅尔森(Adam Melson)表示:“如果你是全球最大的50家电子商务网站之一,你会认为自己最好会把这件事保密起来,这是最麻烦的事情。”
使用简单的谷歌搜索,类似于Seer研究的方法,彭博能够从大量随机选择的美国网站访问敏感用户信息。
例如,圣裘德儿童研究医院的网站公布了捐赠数百美元的收据,包括捐赠者的全名和地址、付款方式和日期,以及他们的电子邮件地址。
彭博(Bloomberg)在俄亥俄州松树山高尔夫俱乐部(Pine Hills Golf Club)发现了与购买体育用品相关的PDF格式类似的数据,其中包括人们的全名、家庭住址和电子邮件详细信息,以及其购买时的参考号码。
另一个例子是,在WebMD Health Corp.的Medscape网站上,彭博社可以找到与订阅有关癌症和艾滋病毒的时事通讯相关的电子邮件地址。
CVS健康公司被发现在其时事通讯中泄露了用户的电子邮件地址。
在另一个案例中,在美国总统唐纳德·特朗普(Donald Trump)网站捐赠页面上完成调查的个人的全名和详细信息可以在谷歌索引的URL中看到。
这些例子是通过查询“firstname”、“print”或“@gmail.com”等关键词的搜索结果,并将查询限制在公司网站地址的子域,比如“shop.companyname.com”(为了保护受影响的用户,彭博社没有发布它认为会暴露数据的特定URL)。
漏洞可以由一些基本的错误引起的,其中一个是,如果一个网站允许用户在社交媒体上分享交易——例如促进慈善捐赠——搜索引擎就可以看到他们的帖子,从那里索引到原始网页,不管用户是否知道。
在没有安全保护的情况下,任何人都可以看到这些页面。
CVS的一位发言人表示,“当一些客户将他们的‘退订’邮件内容分享到在线论坛以支持其他用户时,”通过这种方式可以看到“非常少的”客户电子邮件地址,“但无法访问其他个人信息”。
Amy Lahey,ALSAC的首席信息安全官,圣裘德儿童研究医院的筹款和宣传组织,该公司表示,数据暴露仅限于两份捐赠交易记录,一份可追溯至2015年,另一份可追溯至2017年,目前已实施额外的安全控制。
据彭博社报道,CVS和圣裘德医院均表示,受影响的页面已经被删除或正在删除中。
WebMD和Pine Hills高尔夫俱乐部的代表还没有回复记者的置评请求。
另一种解释是,当一个网站运营商在他们的服务器上创建了一个页面索引,并将其提供给谷歌——即所谓的“站点地图”——时,只有客户才可以看到的页面可能会意外被包括在内。
Alphabet Inc.旗下谷歌的一位发言人说,该公司提供文件以帮助网站管理员防止这种情况的发生,而且它只提供公众网站上可用的信息。
Melson说,单独来看,这些数据可能是无害的,但在网络罪犯手中,这些数据可能会被欺骗性地使用。
这里有一种假设的方式可以发挥作用:一个流氓打电话给一个人,讲述最近捐赠的细节,是什么时候捐赠的,是发给谁的,同时声称支付方式失败了。
然后,可以说服某些易于轻信的受害者重复捐赠,但这次是给罪犯自己的账户。
或者,此人可能会被骗泄露密码以再次确认订单,无意中将他们常用密码的所有组合提交到攻击者的数据库中。
有针对性的电子邮件攻击在许多网络入侵中扮演了角色。
微软(Microsoft Corp.)负责客户安全与信任的副总裁汤姆伯特(Tom Burt)今年7月说,至少有三名2018年美国国会议员候选人遭遇了类似于两年前俄罗斯蓄意破坏的网络钓鱼攻击。
2016年,美国司法部(U.S. Department of Justice)表示,一名来自伊利诺伊州的28岁男子因使用网络钓鱼诈骗访问名人的在线账户而被起诉,他从这些账户窃取了个人照片和视频,这些照片和视频通常带有色情内容。
ABI research的数字安全研究主管米什拉特林(Michela Menting)表示,低级别的意外数据泄漏事件经常发生,但它们可能“与大规模数据泄露一样严重,因为它发生的范围更广,而且是持续不断的”。
她说:“如果你愿意,这是一种千刀之死,而不是一个严重的伤口。”
“正是这些小的漏洞和缺陷,公司往往会置之不理,因为他们看不到大局。”
然而,识别问题的规模是困难的,不同网站的严重程度差别很大。在数据被公开的人数与网站潜在的用户基础之间,也几乎没有一致性。
这种低级别的数据泄露是大大小小的公司多年来一直在犯的一种基本错误。
今年4月,美国连锁面包店Panera breadco表示,已修正其网站上的漏洞,该漏洞可能使多达700万名顾客的个人信息可供骗子使用。
今年9月,英国保守党大会的官方应用程序允许任何人访问和更改与会者的详细信息,其中包括政府成员。
通过使用电子邮件地址,公众可以以议员的身份登录,从而获得私人电话号码等个人信息。
这款应用的开发者CrowdComms对这一缺陷表示道歉。
“数据的广泛泄露代表了企业对数据更广泛的文化问题,” 个人数据治理服务Port的首席执行官朱利安桑德斯(Julian Saunders)说,在这种情况下,对不那么明显敏感的信息(如信用卡号码和密码之外的信息)的保护考虑得太少。
他表示,如此低级别的泄密行为正是欧洲GDPR立法需要的原因。
法律规定,公司必须采取技术预防措施,如加密,以确保所有客户数据受到保护。报告还指出,公司必须在得知相关信息后72小时内通知有关部门。
违反GDPR规定的公司可能会被处以相当于其全球年销售额4%的罚款。
Melson说Seer认为易受影响的网站“主要”位于美国。
他表示:“我们发现的英国公司数量明显较少。”他补充称,这表明GDPR规则正产生积极影响。