软件项目公开了大量客户和合作伙伴数据在线

关键要点

图片来源 Shutterstock/Jaiz Anuar

在网络安全研究员杰里迈亚福勒Jeremiah Fowler的发现和报告之前，软件销售平台SoftwareProjects泄露了近200GB的客户和合作伙伴数据。泄露的数据库中包含257562条记录，涉及信用卡图像、身份证明文件、以及其他潜在敏感信息。

clash是什么

福勒在其博客中提到：“有数千份文件泄露了客户和合作伙伴的个人身份信息PII。” 他表示，这个数据库被标记为CDN，通常指内容交付网络或内容分发网络。根据福勒的说法，CDN是存储文件与文档以加快应用程序、网站或其他数据庞大工具加载时间的地方。

重要客户和合作伙伴数据曝光

该未设密码的数据库包含两个文件夹，分别存放客户和合作伙伴的验证文件，以及一些内部文档。福勒说：“我看到许多内部文件，如发票、退款、合作伙伴支付、销售和会计数据等等。”他最担忧的是发现了大约18000个订单验证文件，包括个人身份证明文件的图像、持证个人的照片以及来自全球客户的信用卡信息。

在发现后，福勒向SoftwareProjects发送了泄露通知，并被感谢并告知已通过将所有PII数据从公共存储桶中移走解决了访问问题。然而，他发现该数据库在被限制之前仍然可被访问了一段时间。

福勒补充道：“在一个单独的文件夹中，存放着合作伙伴的验证文件。”这些合作伙伴记录可能比客户记录更为敏感，因为网络犯罪分子会意识到这些个人参与了商业活动，可能成为更有价值的盗窃或欺诈目标。

此外，该数据库还包含范围广泛的其他文件和文档，包括带有客户个人身份信息的发票、退款文件、银行转账记录，以及显示合作伙伴ABA账号的收益报告csv文件。

风险包括钓鱼、身份盗窃和恶意软件注入

目前尚不清楚这些数据暴露了多长时间或是否曾被访问。福勒指出，暴露的银行账户和路由号码可能会让犯罪分子尝试未授权的账单支付或资金转移。

该数据库还包含许多用于网站或应用程序功能的内部编程文件。福勒表示：“泄露的JavaScriptjs文件在数据泄露中存在潜在风险和大量安全漏洞。”他警告说：“如果恶意行为者能够访问这些代码文件，他们可能会识别出漏洞并加以利用。”最高风险是攻击者可能会注入恶意脚本或发起像跨站脚本攻击XSS或跨站请求伪造CSRF这样的攻击。

由于数据包含全名、地址、出生日期和驾照号码等信息，攻击者也有可能利用这些信息进行身份盗窃、欺诈或从事其他非法活动。

福勒建议受到影响的客户或合作伙伴密切监控其信用和借记账户的授权情况，申请新的银行信用卡和账户号码，并考虑使用身份盗窃保护服务。他表示：“我并不暗示SoftwareProjects或任何合作伙伴有不当行为，也不声称客户或合作伙伴曾经面临风险。我的目的是仅仅报告我的发现和这种类型曝光的现实风险。”