Nul
De personlige oplysninger af næsten 700.000 American Express (Amex) Indien kunder har været ved et uheld efterladt udsat online via en usikker Cvs-server.
Den utætte server, som blev overladt udsat online uden en adgangskode, blev opdaget for tre uger siden af Bob Diachenko, Direktør for Cyber Risiko Forskning på it-sikkerhedsfirma Hacken.
De fleste af data på serveren syntes at have været krypteret, og der kræves en dekrypteringsnøgle til at se, men forskeren siger 689,272 optegnelser blev gemt i klartekst og tilgængelig for alle, der snublede over databasen.
Alm poster, Diachenko siger, der er indeholdt personlige oplysninger om Amex Indien kunder, såsom telefonnumre, fulde navn, e-mail-adresser, og kort beskrivelse af felter. De data, der ikke er alt for følsomme, men kunne være mere end nyttig til at drive en spam kampagne.
På den anden side, den krypterede fortegnelser, som udgjorde 2,332,115 poster, der er indeholdt mere personlige oplysninger. Baseret på MongoDB tabellens header, dette omfattede kundernes navne, adresser, Aadhar numre, PAN-kort tal og telefonnumre.
Andre tabeller (samlinger), inde i de udsatte database MongoDB også indeholdt links og få adgang til oplysninger om konti på americanexpressindia.co.i domænet.
“Ved nærmere undersøgelse, jeg har en tendens til at tro, at databasen var lykkedes ikke ved Amex, men en af deres underleverandører, der er ansvarlig for SEO eller lead generation,” sagde Diachenko. “Mange poster, der er indeholdt områder som ‘campaignID’, ‘prequalstatus’, ‘leadID’ osv.”
Diachenko fortalte ZDNet i dag, at Amex Indien tog ned utæt server på den samme dag, som han meddelt selskabet, omend det fortsat er uklart, hvor meget tid serveren stod udsat online.
Ikke desto mindre, Amex Indien sagde, at en efterfølgende undersøgelse ikke opdager nogen “beviser for uautoriseret adgang,” tyder på, at Diachenko måske har været den eneste, der har adgang til serveren i løbet af sin eksponering.
Diachenko fortalte ZDNet, at han ikke var i stand til at opspore SEO/lead generation selskab, der forvaltes af den utætte server, og Amex Indien ikke afsløre disse oplysninger.
En Amex Indien talsmand blev ikke til rådighed for yderligere kommentarer.
To uger før at udforske utætte Amex Indien server, Diachenko også opdaget en usikker ElasticSearch klynge, der lækkede millioner af optegnelser fra Mindbody, en af de største AMERIKANSKE wellness-udbydere. Hertil kommer, at han også fundet en data-lækage på et Maryland konsulentfirma håndtering af fundraisers for det Demokratiske parti.
Relaterede dækning:
HSBC oplyser security incidentFIFA indrømmer, hack og seler for nye lækagerCIA Vault7 leaker at blive opkrævet for utæt flere fortrolige data, mens i fængsel iNordkorea skylden for to cryptocurrency svindel, fem handelsplatform hacks, Hvorfor data sikkerhed er en prioritet for politiske kampagner, TechRepublicPakistanske bank nægter at miste $6 millioner i landets ‘største cyber-angreb”Software fejl kunne kompromis midtvejs stemmer i Texas CNETden AMERIKANSKE senator, der arbejder på lovforslag, der ville fængsel Direktører for brugeren krænkelser af privatlivets fred
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0