专家警告称:家庭相关数据泄露会增加个人风险

跨国公司Cosentino Group的数据泄露引发了人们对大公司可能泄露客户家庭地址的担忧,安全专家警告称存在重大危险。

大公司可以访问有关其客户的大量个人信息。然而,这些数据肩负着保护隐私和安全的重大责任。

不幸的是,Cyber​​news的研究表明,大企业正在泄露其客户的家庭住址以及其他个人信息的宝库。

作为一个典型的例子,我们的研究团队最近发现了一个影响西班牙拥有的Cosentino Group的错误配置,该集团在 80 多个国家/地区开展业务,并在全球范围内拥有生产设施,包括在西班牙、巴西和美国。

这家跨国公司专门为住宅和商业空间生产和销售高端表面,包括厨房和浴室台面、地板、覆层和室外表面。

Cosentino网站上的错误配置允许威胁行为者访问客户的家庭住址以及全名、电子邮件和电话号码。泄漏的发现是大公司未能保护私人消费者数据的一个典型例子。

Cyber​​news之前的其他研究显示,北美最大的门窗制造商Andersen Corporation不仅泄露了家庭地址,还泄露了客户房屋的外部和内部照片以及其他个人数据。

暴露家庭住址到底有多危险?安全专家表示,这样做可能会带来潜在的可怕风险。

Cosentino通过保修PDF泄露数据

研究人员在Cosentino网站上发现了一个地址泄露漏洞。当客户在家中安装台面时,他们通常需要在线注册才能获得制造商的保修。这是为了涵盖宝石的缺陷或损坏,例如碎裂或翘曲。

注册保修后,研究人员可以下载文档的PDF副本。然而,在检查与下载链接关联的HTTP请求时,他们发现了一个可以轻松操纵的PDF ID。

逐步更改URL末尾的数字允许在不同的保修文件之间切换,这意味着任何人都可以访问其他客户的PDF并查看他们的个人详细信息,例如全名、电子邮件、地址和电话号码。

此漏洞称为不安全直接对象引用 (IDOR) 漏洞,它可能允许未经授权访问敏感信息。Cyber​​news 就此次泄密事件联系了 Cosentino,在撰写本文时,该公司声称已确保对其网站的访问权限。

为什么公开家庭住址是危险的

泄露家庭地址似乎很少发生。根据 VPN 服务提供商Surfshark的数据,在所有国家/地区中泄露最多的前五个数据点是电子邮件地址、密码和帐户ID。相比之下,只有1%对应于家庭住址。

尽管如此,虽然网络犯罪分子往往主要寻找数字凭证,但暴露的家庭地址可能会带来各种风险。Surfshark的首席安全官 Tautvydas Jašinskas表示,威胁行为者使用家庭住址、电话号码、电子邮件和姓名的主要风险是网络钓鱼攻击。

“例如,犯罪分子可以从所谓的‘电力服务公司’拨打欺诈电话,并通知用户住在该地址的人欠债,他们必须将这笔钱存入犯罪分子拥有的银行账户,”Jašinskas 说。

他补充说,泄露的家庭地址也可以用于更阴险的情况,例如勒索软件或敲诈勒索,在这些情况下,个人受到伤害或勒索的威胁,因为犯罪分子知道他们住在哪里。

Jašinskas列举了更多关于泄露的个人信息如何被网络犯罪分子利用的例子。一个这样的例子是社会工程攻击:威胁行为者可以使用这些信息来帮助他们伪装成权威人物,例如警察提问,从毫无戒心的受害者那里提取更多敏感数据。

Jašinskas表示:“当网络犯罪分子使用家庭或办公室地址发送受感染的USB时,记录了各种案例,这些U盘在使用时会感染人们的计算机。但最近没有发生如此重大的案件,”

威胁行为者可以瞄准富有的客户

披露一个人的位置有助于将某人的家庭住址与他们的财富联系起来。这意味着网络攻击者可以通过跟踪居住在高档社区的人来识别和瞄准最富有的潜在受害者。

这与Cosentino案密切相关,因为数据被泄露的客户最近购买了昂贵的石材台面:这揭示了他们的财务状况,并可能使他们成为入室盗窃或其他形式的财产盗窃的目标。

内容安全公司Egnyte的网络安全总监尼尔琼斯表示,如果一家公司泄露了家庭地址,就像安徒生案例中那样,威胁行为者可以直接出现在客户家门口。例如,“无良承包商”可能会尝试索取额外服务或要求额外“付款”以进行家庭装修。

进一步的情报收集

网络安全公司Cyderes的首席安全分析师Tyler Moore表示,黑客通常依靠开源情报(OSINT)调查来查明某人的住所。虽然住宅地址本身不足以进行社会工程攻击,但它可以作为一个起点。

“我是一名黑客。我从数据泄露中获得了地址列表。我更愿意提供社会安全号码或银行详细信息,但这是我必须处理的,所以让我们继续吧,”摩尔说,并提出了一个假设场景,即威胁参与者可能如何利用泄露的地址。

黑客很可能会通过在Zillow或Realtor等房地产网站上查找地址来开始调查信息。此外,人们可以搜索公共记录以确定财产的所有者,并使用谷歌地图的“街景”功能查找识别特征,例如车牌号码。

“一旦我有了名字,我就会开始研究那个人、[他们的] 社交媒体、在线状态等等。然后我可能会尝试破解他们的电子邮件帐户,”摩尔补充道。

身体危险

泄露的地址也可能导致人肉搜索,或在网上公开泄露一个人的个人详细信息。这可能会产生可怕的后果,因为它涉及泄露个人的个人信息,包括地址、电话号码和其他敏感细节。隐私的丧失会使个人容易受到有针对性的攻击和在线骚扰。

据报道,2015 年,所谓的伊斯兰国黑客部门发布了 100 名美国军人的个人资料,其中包含他们所谓的家庭住址。该组织敦促“居住在美国的兄弟”瞄准并杀死那些名单上的人。

这一事件引发了人们对美军人员及其家人安全的担忧,以及恐怖组织利用网络平台进行宣传和煽动暴力的可能性。美国政府采取措施加强军人及其家人的安全作为回应。

暴露的个人信息还可能使犯罪分子更容易进行跟踪或其他恶意行为,如殴打——打电话给武装警察并谎称受害者地址正在发生犯罪的危险做法。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/4775.html

标签