巴西电子商务服务商泄露近18亿条个人记录

据研究人员称，一家巴西电子商务公司在错误配置Elasticsearch服务器后无意中暴露了近18亿条记录，其中包括客户和卖家的个人信息。

由Anurag Sen领导的SafetyDetectives团队在6月发现了这一事件，并迅速将泄漏追溯到Hariexpress——一家允许供应商管理和自动化跨多个市场（包括Facebook和亚马逊）活动的公司。

尽管Hariexpress在7月初收到泄漏警报后仅四天就回复了研究人员，但随后无法联系到它。Infosecurity目前正在尝试确认问题是否已修复。

错误配置的Elasticsearch服务器未进行加密，更没有密码保护。它包含610GB的数据，包括客户的全名、家庭和送货地址、电话号码和帐单明细。还暴露了卖家的全名、电子邮件和公司/家庭地址、电话号码和公司/税号 (CNPJ/CPF)。

由于数据库的大小无法确定、电子邮件地址的重复可能性，SafetyDetectives无法确认受影响的总人数。

SafetyDetectives声称：

“如此规模的数据泄露很容易影响到数十万甚至数百万巴西Hariexpress用户和电子商务购物者。Hariexpress泄露的服务器内容也可能影响其自身业务。”

“我们无法知道不道德的黑客是否发现了Hariexpress不安全的Elasticsearch服务器。用户、快递员、消费者和Hariexpress本身都应该了解他们可能因这次数据泄露而面临的风险。”

声明：本文来自GoUpSec，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。