国际网络安全咨询公司Hacken于近日再次公开披露了两起怀疑因服务器配置错误导致的大规模数据泄露事件，涉及到巴西圣保罗州工业联合会（FIESP）和一个名为“Adapt.io”的商务服务网站，遭暴露的个人数据总量接近两亿条。

FIESP近两亿条记录暴露在外

11月12日，Hacken公司的安全专家在使用Binaryedge.io平台审核可公开访问的Elasticsearch数据库的搜索结果时，发现了似乎是由巴西圣保罗州工业联合会（FIESP）编制的个人信息记录。FIESP隶属于巴西国家产业联合会，包括133个商业协会，涵盖13万个行业，这些行业占巴西国内生产总值（GDP）的42％。

存储在可公开访问的Elasticsearch数据库中的记录，总计数为180,104,892条，其中至少有3个数据集（FIESP、celurares和externo）包含巴西公民的个人信息。

 

就拿其中最大的一个数据集（FIESP集合）来说，它存储有34,817,273条个人记录，其中包含以下信息：

• 姓名
• 个人身份证号码（RG号码）
• 纳税人登记证明（CPF）
• 性别
• 出生日期
• 完整地址
• 电子邮箱地址
• 电话号码

Hacken公司的安全专家表示，他们在向FIESP发出通知后并没有收到任何回复。该数据库最终是在该公司的巴西粉丝Paulo Brito通过电话与FIESP取得联系之后，才得到离线处理的。

Adapt.io 123GB数据可公开访问

11月5日，Hacken公司的安全专家发现了一个可公开访问且没有设置密码的MongoDB数据库，其大小为123GB，包含9,376,173条个人信息记录：

• 公司名
• 公司介绍
• 姓名
• 头衔/级别/职位
• 行业
• 公司规模
• 公司收入
• 电话号码
• 公司域名
• 电子邮件置信度
• 公司现有的所有联系人
• 公司每一名联系人的电子邮箱地址

如上所述，这个数据库没有设置密码，也就意味着任何能够联网并拥有MongoDB ID的人都可以访问其内容。

 

经过仔细审查之后，Hacken公司的安全专家得出结论，这个数据库来自一个名为“Adapt.io”的商业服务网站。根据其网站的描述：“Adapt提供了数以百万计的商业联系方式。Adapt的免费工具可帮助您通过电子邮件、电话和众多联系人来丰富您在任何网站上的商业信息。”

Hacken公司的安全专家表示，他们已经联系了该网站，但是同样没有收到回复。另外，这930多万个电子邮箱地址已经上传到Troy Hunt的HaveIBeenPwned系统，因此受影响的人可能很快就会收到通知。