跨境电商服务企业400G数据泄露，超2.14亿用户信息曝光

国外安全网站 Safetydetectives 研究团队发现，跨境电商服务企业「ben鸟」泄漏了不安全的ElasticSearch数据库，导致超过400GB的个人资料数据对外泄漏，当中包括几位知名人士和网红。

该公司成立于 2014 年，是一家为跨境 B2B 企业提供销售线索推荐与转化及 ABM 营销服务的公司，其总部位于深圳，在北京、上海、广州等地均有分支机构。

报道称，此次泄露受影响的数据包含来自世界各地至少 2.14 亿人的个人敏感信息，包含 3.18 亿条记录，总计 408GB。这些数据基本来自 Facebook、Instagram 以及 LinkedIn 等专业网络的社交图文、影片等。

Safetydetectives 团队在对可能不安全的数据库进行常规 IP 地址检查期间，发现该公司的 ElasticSearch 服务器是对外公开的，没有密码保护或加密功能。

该公司服务器上缺乏安全装置，这意味着拥有服务器 IP 地址的任何人都可以访问包含数百万个人隐私信息的数据库。

此外，值得注意的是，2020 年 8 月，该公司也遭受了一次类似的数据泄露，导致 1.5 亿的 LinkedIn、Facebook 和 Instagram 用户的数据被暴露。

Safetydetectives 发现，该公司泄露的个人数据包括：

• 11651162 条 Instagram 用户个人资料；
• 66117839 条领英用户个人资料；
• 81551567 条 Facebook 用户个人资料；
• 55300000 条 Facebook 用户个人资料。

令人惊讶的是，安全研究团队发现的受数据泄漏影响的配置文件数量与该公司 8 月数据泄漏中提到的数量相同。但数据库的大小、托管这些服务的公司以及索引的数量存在很大差异。

从安全研究团队发现的泄漏数据中，可以确定人们的全名、居住国家、工作地点和联系方式等信息，还能直接链接到他们的个人资料。

下图显示了来自 4200 万条记录的按国家/地区分类的用户资料样本。

根据 Safetydetectives 网络安全团队负责人 Anurag Sen 的说法，该公司此次泄露的全部数据都是从社交媒体平台“刮走”的，这既不道德，又违反了 Facebook、Instagram 和 LinkedIn 的服务条款。

在这些用户的个人资料里，安全研究人员发现了几位美食博主和其他社交媒体网红的数据。

每条记录都包含从有影响力的 Instagram 帐户中抓取的公共数据，包括其履历、个人资料图片、关注者总数、位置设置以及个人信息，例如电子邮件地址和电话号码的联系方式。

Instagram记录公开了以下详细信息：

• 用户全名；
• 六百多万用户的电话号码；
• 一千多万用户的电子邮件地址；
• 个人资料链接；
• 个人资料图片；
• 资料描述；
• 平均评论数；
• 关注人数；
• 所在国家；
• 具体位置；
• 常用标签。

泄露的 Facebook 用户资料包括 4000 万个电话号码、3200 万个电子邮件地址等。

Facebook 记录公开了以下详细信息：

• 用户全名；
• 电子邮件地址；
• 电话号码；
• 所在国家；
• 喜欢、关注和评论数；
• Facebook 链接与个人资料图片；
• 资料描述。

LinkedIn 用户个人资料中泄漏的电子邮件地址多达 3100 万以上。

LinkedIn 记录显示了以下详细信息：

• 用户全名；
• 电子邮件地址；
• 职务简介，包括职务和资历等级；
• 个人资料链接；
• 用户标签；
• 域名；
• 连接的社交媒体帐户登录名，例如 Twitter；
• 公司名称和营业利润率。

目前尚不清楚该公司如何设法从多个安全来源获取私人数据。

数据抓取现象普遍，如何防止个人信息泄露？

在该公司的案例中，私人信息是从多个来源获得的，该公司的服务器安全性不足。当提取或泄露包括电话号码、电子邮件地址等私人信息被获取，很可能被利用。大量的数据被出售或提供给其他恶意方，会使数据抓取的潜在后果更加广泛和严重。

为防止数据泄露，个人用户需要加强防范意识，定期检查所在网站是否安全，设置复杂的安全密码，不随意点击电子邮件中的连接，避免在不安全的 Wi-Fi 网络上使用信用卡并输入密码。

数据抓取是从网站提取私人信息的一种手段。由于无缝连接的在线服务和平台的迅速蔓延，数据抓取在网上已变得司空见惯。

大多数数据抓取完全是无害的，并且由 Web 开发人员、商业智能分析师和部分企业出于在线市场研究目的而进行。但是，即使此类数据是合法获得的，如果存储这些数据时没有足够的网络安全性，也可能会发生影响数百万人的大泄漏。