美国80多个城市敏感信息泄露,包括居民个人数据某市政网络服务商。这种网络犯罪行为泄露了公民的地址、电话号码、身份信息、税务文件等。由于敏感和独特文件的数量和种类,很难估计有多少人暴露在这一漏洞中。访问此信息不需要密码或登录凭据,并且数据未加密。在数据泄露期间,美国80多个城市似乎都在使用mapsonline.net。这是一家名为PeopleGIS的美国公司提供的。这些城市的数据存储在几个配置错误的AmazonS3存储桶中,这些存储桶与MapsOnline共享类似的命名约定。PeopleGIS是一家位于马萨诸塞州的公司,专门从事信息管理软件。马萨诸塞州的许多城市以及康涅狄格州和新罕布什尔州等周边州的一些城市使用他们的软件和平台来管理各种数据。扫描显示了114个以相同模式命名的AmazonBuckets,这揭示了与PeopleGIS的连接。其中28个似乎配置正确(这意味着它们无法访问),86个无需任何密码或加密即可访问。这意味着有3种可能性:PeopleGIS创建了存储桶并将它们移交给他们的客户(所有市政当局),其中一些确保它们已正确配置;桶是由不同的PeopleGIS员工创建和配置的,这些桶的配置没有明确的指导方针;市政当局使用PeopleGIS的命名格式指南自行创建存储桶,但没有任何配置指南。哪些数据易受攻击?网络安全研究人员团队发现了80多个配置错误的AmazonS3存储桶,其中包含与这些城市相关的数据,总计超过1,000GB的数据和超过160万个文件。公开的文件类型因市政当局而异。这种差异和涉及的市政当局数量意味着无法明确估计在此次违规行为中易受伤害的人数。图为:泄露文件示例:房地产税单。暴露的文件类型包括营业执照、居住记录(如契约)、税务信息和政府求职者的简历。泄露中暴露的信息包括(但不限于):电子邮件地址实际地址电话号码驾照号码财产税信息个人照片(在驾驶执照上)财产照片产品清单表格。一些易受攻击的文档已被编辑,但它们是使用标记等透明工具进行数字编辑的。这意味着找到它们的人可以在照片编辑器中更改文档的对比度并查看编辑后的信息。这意味着即使是经过编辑的文件也可能在此漏洞中受到损害。图:公开文件的示例:驾照。违规行为可能导致这些城市的公民大规模欺诈和盗窃。地方政府数据库中包含的高度敏感数据,从电话号码到营业执照再到税务记录,很容易被不法分子利用。这些信息中的大部分应该只对政府和公民开放,这意味着有人可能会冒充政府官员来欺骗个人。有哪些风险以及如何保护自己免受诈骗?图为:公共文件示例:财产登记表。身份盗用:泄露中暴露的大量PII(个人身份信息)和私人详细信息可能使不良行为者很容易假装成其他人并窃取他们的身份。此类违规行为使身份盗窃成为一种特别危险的风险,因为坏人掌握的信息越多,他们就越有可能得逞。网络钓鱼、欺诈和诈骗:大量易受攻击的财务和机密记录可能允许黑客冒充政府官员进行网络钓鱼、欺诈或欺骗公民。盗窃:暴露的住宅信息,如家庭计划、契约和所有者信息,可以让攻击者深入了解他们的目标。他们还可以利用泄露的信息来瞄准更容易上当受骗的人群,例如老年人。文件操作:这种风险取决于市政当局如何使用配置错误的存储桶中的数据。如果文件仅用于备份存储,属性值被篡改的风险很小。然而,如果市政当局积极使用这些存储桶中的数据,这些文件可能会被覆盖以操纵财产价值、个人税务信息和其他方法。赎金:攻击者可以从存储桶中下载文件,然后将其擦除并将数据赎回给城市。以上只是网络犯罪分子不断更新新手段以利用互联网上任何弱势群体的几种方式。数据安全建设任重而道远频发的数据泄露事件提醒我们,随着互联网的高速发展,越来越多的数据被包括政府在内的企业和个人存储在互联网上,这也意味着一旦发生网络攻击,这些数据处于危险之中。特别是随着我国智慧城市的建设,物联网与互联网的结合使用,一方面方便了社会治理和居民生活,另一方面也促进了大数据的不断采集和流转也给了网络犯罪分子可乘之机。破坏网络安全防御和损坏数据丢失的后果是不可预测的。因此,在构建数字化转型的同时,更要将安全放在首位,提前做好网络安全布局,防范网络攻击。
