据外媒报道,有研究人员发现了一个大型的数据库,其中包含存储在亚马逊网络(aws)数百万个欧洲客户记录,任何人使用搜索引擎都能查找到这些记录。
泄露的数据库共涉及 800 万条记录,主要是通过亚马逊,eBay,Shopify,PayPal和Stripe在内的公司的市场和支付系统API收集到的。
记录中的数据包括姓名,送货地址,电子邮件地址,电话号码,购买的物品,付款,订单ID,Stripe和Shopify发票的链接以及部分编辑的信用卡。此外,还包括成千上万的Amazon Marketplace Web服务(MWS)查询,MWS身份验证令牌和AWS访问密钥ID。
由于一个客户可能会生成多个记录,所以无法估计有多少客户受到影响。据称大约有一半泄露记录的客户来自英国,其余的大部分都来自欧洲其他地方。
为何会泄露?根据Comparitech的数据,这可能与进行跨境增值税分析的第三方公司有关。亚马逊查询可用于查询MWS API,这可能使攻击者可以从销售数据库中请求记录。因此,它建议所涉及的公司应立即更改其密码和密钥。亚马逊于 2 月 8 日向涉嫌关闭数据库的第三方公司开始调查该违规行为。
尽管目前没有证据表明有人在这些数据不受ekeye保护的情况下访问过该数据。但这个例子足以证明,客户信息被泄露是一件多么简单的事情。
Comparitech和Diachenko之前发现的例子包括:
自2005年以来,总共有2.5亿条客户记录留在Elasticsearch上。
一个数据库,其中包含2.67亿个用户ID,电话号码和姓名,这些信息留在Elasticsearch上。
在Elasticsearch服务器中,有500万Adobe Creative Cloud客户的电子邮件数据库(2019年10月)。
5700万美国人的个人详细信息留在Elasticsearch的营销数据库上。
在过去一年,此类违规事件的数量和范围似乎都在增长。目前针对它们的防御措施很简单,在未造成真正的损害之前,应引起重视并有力解决。
而客户信息遭泄露在亚马逊也已不止发生一次。
今年1月12日,外媒报道, 亚马逊在一周内第二次承认,其员工存在不当获取和分享客户数据的行为。随后, 亚马逊发言人在一份声明中表示:“对这起事件负有责任的个人已经被解雇,我们正在支持执法部门对他们的起诉。”
而在此前的另一起事件中,亚马逊表示,它解雇了四名家庭安全公司Ring员工,原因是他们滥用对客户视频源的访问权限。
互联网的发展,给人们购物带来了极大的便利,同时也带来了一定的隐患。信息安全便是一方面。类应用因涉及线上交易等业务且与用户账户资金密切相关,往往易成为黑灰产行业攻击对象,恶意刷券、虚假注册套取平台奖励等事件数见不鲜,一旦应用潜在的漏洞隐患被加以非法利用,造成的损失将难以估量。
对于卖家来讲,网站被攻击、用户数据泄露可能意味着自己的销售业绩、销售人群等核心信息将暴露在竞争对手视线之内;
对于买家来讲,电商平台被攻击,买家的个人信息被曝光,产生的不安全感将会反作用于对购物平台的信任度下降,终止后续购买行动。
因此,客户信息安全值得各个电商平台重视。