黑客入侵美國一加允許人們買賣槍支的網站,暴露其用戶的身份。這次入侵暴露超過55萬用戶的大量敏感個人數據,包括客戶的全名、傢庭住址、電子郵件地址、明文密碼和電話號碼。此外,據稱被盜的數據使其有可能將某個人與特定武器的銷售或購買聯系起來。
網絡安全專傢特洛伊-亨特(Troy Hunt)對此表示:"有這些數據,你就可以把一個公開的清單......並把它解析到[被盜數據庫中的數據],這樣你就有[賣傢]的姓名、電子郵件、物理地址和電話號碼,並且可以推測出槍支的位置",他經營著流行的數據泄露庫和警報服務Have I BeenPwned。(發現該漏洞的研究人員與亨特分享數據,以便他能將其上傳到Have I BeenPwned。)
去年年底,一位要求匿名的安全研究人員發現一個包含數據的服務器,結果發現該服務器被一個黑客(或一群黑客)使用,他們用該服務器存儲被盜數據。該服務器沒有受到任何系統的保護,無法限制或控制誰可以訪問它,因此該研究人員下載數據並進行分析。
他發現的數據來自GunAuction.com網站,該網站自1998年以來允許人們將槍支放在網上進行拍賣。
GunAuction.com的屏幕截圖
TechCrunch分析被盜數據的樣本,並通過電子郵件聯系100人,通過電話聯系60人。其中,10人確認被盜數據庫中的數據是準確的。然而,目前還不清楚這些數據的最新情況,因為有25個電子郵件地址的信息被退回或無法送達,還有幾個電話號碼撥打後被切斷。
GunAuction.com首席執行官Manny DelaCruz在一封電子郵件中證實這一漏洞。
DelaCruz在聲明中寫道:"我可以確認,聯邦調查局最近與我們聯系,討論可能發生影響我們公司的數據泄露事件,該漏洞可能暴露姓名、地址和電子郵件地址等個人客戶信息。然而,我們想向我們的客戶保證,我們沒有理由相信任何財務信息在這次漏洞中被訪問。我們建議我們的客戶保持警惕,監測他們的金融賬戶和信用報告中的任何可疑活動。我們的意圖是盡快通知受影響的用戶"。
這不是第一次關於槍支所有者的敏感數據被曝光。去年,加州司法部錯誤地泄露個人數據,包括槍支所有者的姓名、生日、地址、年齡、購買日期和他們擁有的槍支許可證類型,以及他們的犯罪識別指數號碼,這些都是用來追蹤州和聯邦的犯罪記錄。