独立网络安全研究员 Jeremiah Fowler 发现了一个未受密码保护的不安全数据库,其中包含 3860 万条属于加利福尼亚州法律支持服务公司 Rapid Legal 的记录。
Fowler 向 vpnMentor 报告了这一发现。根据该报告,该数据库在没有任何密码或其他安全验证措施的情况下被公开访问。研究人员访问到的信息包括法院文件、服务协议和支付信息,其中包括部分信用卡详细信息和个人身份信息(PII)。数据总量约为 38TB,共有 38648733 条记录。
进一步调查显示,该网站还引用并链接了另一个存储库 Legal Connect,其中包含 89745 条记录,总大小为 249.9 GB。Legal Connect 是一家后端技术提供商,而 Rapid Legal 则为客户和合作伙伴附属机构提供备案服务。Fowler 在报告中解释说,这两家公司似乎“拥有相同的公司领导层”,并且相互关联。
这些文件的时间跨度从 2009 年到 2024 年,内容包括案件文件、归档文件、通知、收据、声明、证物证据、判决书和其他相关案件档案。该服务允许 32000 多家律师事务所向各法院系统提交或传输 700 多万份订单和 1100 多万份法律文件。
如此大规模的数据泄漏会给受影响者带来毁灭性的后果。一名为“支付”的文件夹包含 737389 个 .jsn 格式的文件,其中包括姓名、地址和信用卡号最后四位数字等敏感数据。
一些文件中还包含商家令牌、网关数据和发卡机构授权码。这些文件用于记录在线支付和组织交易细节,对手可以将这些数据与其他个人数据结合起来,进行欺诈或有针对性的网络钓鱼攻击。
与此同时,使用 Legal Connect 技术的 .pfx 文件也被泄露了,这些文件带有服务器名称或合作伙伴服务,可能包含用于安全或加密通信的私钥和证书。此外,数据库还包含约 146000 份已签署的客户服务协议。这些数据可被用于有针对性的网络钓鱼攻击、骚扰、恶意软件传播、垃圾邮件或其他欺诈活动。
泄露记录截图
在 Fowler 发送披露通知的同一天,这些数据库已被保护起来,禁止公众访问。Fowler 声称,没有证据表明客户支付数据存在风险,也没有发现任何紧迫的欺诈威胁。
法律服务公司的敏感数据泄露事件进一步表明,我们需要采取全面的数据安全方法,包括强大的访问控制、定期的安全审计、员工网络安全最佳实践培训、数据加密以及定义明确的违规响应计划。这些措施可以限制数据访问、发现漏洞、提高员工对网络钓鱼的意识,并确保数据在传输过程中的安全性。
消息来源:hackread,译者:lune;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
