私人信息正在不經意間被泄露!美國五分之一電商網站仍有安全漏洞
6個月前,歐盟(EU)的通用數據保護規定(General Data Protection Regulation,簡稱GDPR)生效,威脅全球企業如果不妥善處理客戶數據,將面臨巨額罰款。
據彭博社報道,最新研究表明,這在歐洲產生了影響,但對美國網路用戶影響不大。
一項最新調查顯示,由於網站安全措施不力,美國慈善捐贈者、政黨支持者和網上購物者的個人信息繼續悄悄泄露到互聯網上。
總部位於費城的搜索營銷公司Seer Interactive周一說,美國五分之一的電子商務網站仍在讓客戶面臨風險。
Seer董事亞當梅爾森(Adam Melson)表示:「如果你是全球最大的50家電子商務網站之一,你會認為自己最好會把這件事保密起來,這是最麻煩的事情。」
使用簡單的谷歌搜索,類似於Seer研究的方法,彭博能夠從大量隨機選擇的美國網站訪問敏感用戶信息。
例如,聖裘德兒童研究醫院的網站公布了捐贈數百美元的收據,包括捐贈者的全名和地址、付款方式和日期,以及他們的電子郵件地址。
彭博(Bloomberg)在俄亥俄州松樹山高爾夫俱樂部(Pine Hills Golf Club)發現了與購買體育用品相關的PDF格式類似的數據,其中包括人們的全名、家庭住址和電子郵件詳細信息,以及其購買時的參考號碼。
另一個例子是,在WebMD Health Corp.的Medscape網站上,彭博社可以找到與訂閱有關癌症和艾滋病毒的時事通訊相關的電子郵件地址。
CVS健康公司被發現在其時事通訊中泄露了用戶的電子郵件地址。
在另一個案例中,在美國總統唐納德·特朗普(Donald Trump)網站捐贈頁面上完成調查的個人的全名和詳細信息可以在谷歌索引的URL中看到。
這些例子是通過查詢「firstname」、「print」或「@gmail.com」等關鍵詞的搜索結果,並將查詢限制在公司網站地址的子域,比如「shop.companyname.com」(為了保護受影響的用戶,彭博社沒有發布它認為會暴露數據的特定URL)。
漏洞可以由一些基本的錯誤引起的,其中一個是,如果一個網站允許用戶在社交媒體上分享交易——例如促進慈善捐贈——搜索引擎就可以看到他們的帖子,從那裡索引到原始網頁,不管用戶是否知道。
在沒有安全保護的情況下,任何人都可以看到這些頁面。
CVS的一位發言人表示,「當一些客戶將他們的『退訂』郵件內容分享到在線論壇以支持其他用戶時,」通過這種方式可以看到「非常少的」客戶電子郵件地址,「但無法訪問其他個人信息」。
Amy Lahey,ALSAC的首席信息安全官,聖裘德兒童研究醫院的籌款和宣傳組織,該公司表示,數據暴露僅限於兩份捐贈交易記錄,一份可追溯至2015年,另一份可追溯至2017年,目前已實施額外的安全控制。
據彭博社報道,CVS和聖裘德醫院均表示,受影響的頁面已經被刪除或正在刪除中。
WebMD和Pine Hills高爾夫俱樂部的代表還沒有回復記者的置評請求。
另一種解釋是,當一個網站運營商在他們的伺服器上創建了一個頁面索引,並將其提供給谷歌——即所謂的「站點地圖」——時,只有客戶才可以看到的頁面可能會意外被包括在內。
Alphabet Inc.旗下谷歌的一位發言人說,該公司提供文件以幫助網站管理員防止這種情況的發生,而且它只提供公眾網站上可用的信息。
Melson說,單獨來看,這些數據可能是無害的,但在網路罪犯手中,這些數據可能會被欺騙性地使用。
這裡有一種假設的方式可以發揮作用:一個流氓打電話給一個人,講述最近捐贈的細節,是什麼時候捐贈的,是發給誰的,同時聲稱支付方式失敗了。
然後,可以說服某些易於輕信的受害者重複捐贈,但這次是給罪犯自己的賬戶。
或者,此人可能會被騙泄露密碼以再次確認訂單,無意中將他們常用密碼的所有組合提交到攻擊者的資料庫中。
有針對性的電子郵件攻擊在許多網路入侵中扮演了角色。
微軟(Microsoft Corp.)負責客戶安全與信任的副總裁湯姆伯特(Tom Burt)今年7月說,至少有三名2018年美國國會議員候選人遭遇了類似於兩年前俄羅斯蓄意破壞的網路釣魚攻擊。
2016年,美國司法部(U.S. Department of Justice)表示,一名來自伊利諾伊州的28歲男子因使用網路釣魚詐騙訪問名人的在線賬戶而被起訴,他從這些賬戶竊取了個人照片和視頻,這些照片和視頻通常帶有色情內容。
ABI research的數字安全研究主管米什拉特林(Michela Menting)表示,低級別的意外數據泄漏事件經常發生,但它們可能「與大規模數據泄露一樣嚴重,因為它發生的範圍更廣,而且是持續不斷的」。
她說:「如果你願意,這是一種千刀之死,而不是一個嚴重的傷口。」
「正是這些小的漏洞和缺陷,公司往往會置之不理,因為他們看不到大局。」
然而,識別問題的規模是困難的,不同網站的嚴重程度差別很大。在數據被公開的人數與網站潛在的用戶基礎之間,也幾乎沒有一致性。
這種低級別的數據泄露是大大小小的公司多年來一直在犯的一種基本錯誤。
今年4月,美國連鎖麵包店Panera breadco表示,已修正其網站上的漏洞,該漏洞可能使多達700萬名顧客的個人信息可供騙子使用。
今年9月,英國保守黨大會的官方應用程序允許任何人訪問和更改與會者的詳細信息,其中包括政府成員。
通過使用電子郵件地址,公眾可以以議員的身份登錄,從而獲得私人電話號碼等個人信息。
這款應用的開發者CrowdComms對這一缺陷表示道歉。
「數據的廣泛泄露代表了企業對數據更廣泛的文化問題,」 個人數據治理服務Port的首席執行官朱利安桑德斯(Julian Saunders)說,在這種情況下,對不那麼明顯敏感的信息(如信用卡號碼和密碼之外的信息)的保護考慮得太少。
他表示,如此低級別的泄密行為正是歐洲GDPR立法需要的原因。
法律規定,公司必須採取技術預防措施,如加密,以確保所有客戶數據受到保護。報告還指出,公司必須在得知相關信息後72小時內通知有關部門。
違反GDPR規定的公司可能會被處以相當於其全球年銷售額4%的罰款。
Melson說Seer認為易受影響的網站「主要」位於美國。
他表示:「我們發現的英國公司數量明顯較少。」他補充稱,這表明GDPR規則正產生積極影響。