西班牙应用程序制造商8belt的数据库被曝光,泄露了敏感的客户信息。数据现在是安全的。

研究人员上周五在一份报告中称,语言学习应用程序制造商8belt从一个不安全的云数据库中泄露了全球数十万用户的敏感个人信息。这些信息包括国家身份号码、姓名、电子邮件地址和电话号码。

只要有正确的IP地址,任何人都可以访问该数据库,至少从4月15日起,研究人员Noam Rotem和Ran Locar在互联网上发现数据库暴露项目的一部分时,就可以访问该数据库。研究人员在vpnMentor网站上发表了他们的研究结果。vpnMentor是一家评论虚拟私人网络的网站,当读者点击它的链接并购买产品时,它就会向用户收取佣金。8belt数据库中最早的记录是从2017年开始被离线的。

该公司的客户遍布世界各地,研究人员说,他们发现几乎每个国家的用户都有信息。8belt网站列出了许多大公司作为客户,包括移动通信巨头华为、体育用品零售商迪卡侬和跨国审计公司普华永道。研究人员说,数据库中的大多数条目来自讲西班牙语的国家。

总部位于西班牙、提供英语、法语、德语和汉语课程的8belt没有回复记者的置评请求。

这一发现是安全研究人员对云计算中暴露的数据做出的众多发现之一。其它安全程度较低的数据库还披露了美国戒毒患者接受治疗的信息、秘鲁电影观众的身份证号码,以及世界各地诊所整形患者接受手术前后的照片。

暴露的数据带来了身份盗窃的风险,因为犯罪分子利用从公司窃取的信息来开辟新的信贷额度。营销公司或欺诈者也会滥用它,他们可能会通过在网上发现的电子邮件和电话号码与人联系。目前还不清楚除了研究人员之外是否还有其他人访问了8belt的数据。

随着越来越多的公司将客户信息转移到云上,它们往往缺乏安全操作的专业知识。像亚马逊(Amazon)这样的云服务提供商试图让用户更容易地在默认情况下安全地建立数据库,MongoDB这样的云软件制造商也开发了一些产品,可以在数据存储在云里的时候将其牢牢地锁住。安全研究人员发现,这个问题仍然存在。一个由网络侦探组成的社区,有些是专业人员,有些是业余爱好者,他们在互联网上搜寻被曝光的数据,并试图确保这些数据的安全。

8belt数据库由Amazon Web Services或AWS托管。云提供商不需要设置数据库,公司有责任在云上安全地存储客户数据。默认情况下,AWS使云存储系统S3 bucket上的数据只对帐户所有者可见。公司将不得不关闭该功能,以保留数据。

数据库管理器可能有意这样做,以使需要访问数据的人更容易获得数据。这也可能是无意的。旨在帮助初学者建立云数据库的编码指南提供了数据库管理器可以复制和粘贴的模板。这些模板经常关闭密码保护,MongoDB安全负责人Kenn White告诉CNET,这是一个侵蚀数据库安全的问题。

研究人员说,被曝光的8belt数据似乎还包含用户课程历史和语言学习课程表现的信息,以及有关8belt电脑系统的信息,这些信息可能对想要攻击该公司的黑客很有价值。