热门无人机交易网站 DronesForLess.co.uk 将未加密的整个交易数据库暴露在网上,导致数千名警方、军方、政府和私人客户的购买记录遭曝光。

Secret-bases.co.uk 公司的 Alan 发现了这起事件,他指出,网站DronesForLess.co.uk 的运营人员未能保护 web 基础设施的关键部门免遭好奇之人的窥探。

The Register 发现1万多份购买收据存储在该网站的 web 服务器中,但数据并未加密甚至并没有设置密码保护,因此这些收据中的敏感的客户详情非常容易遭访问。甚至是祖父母辈的人通过 IE 浏览器即可访问。

这些易于访问的详情包括购买人姓名、地址、电话号码、邮件地址、IP 地址、用于连接到该网站的设备、下单商品详情、发卡行以及付款用的信用卡的后四位数字。

警方和军方人员下的订单包括:

  • 伦敦警察厅的一名现役警官购买了一架“大疆精灵3”无人机,收件人是警察厅所在的位于伦敦的皇后大厦总部,并且买家提供了含有警察厅某个部门缩写的非警方邮件地址。

  • 一名英国陆军预备役少校为自己部门所在的总部订购了一架价值1100英镑的无人机。

  • 英国国防部采购部门的一名员工购买了一架“大疆悟 Inspire 2”无人机,且含有备用电池和意外伤害保险。

  • 英国国家犯罪局的一名员工使用自己的 ***@nca.x.gsi.gov.uk 安全加密邮件地址购买了一台尼康 Coolpix 数码相机。

目前尚不清楚这些所购物品是个人还是政府使用。

The Register 看到的还包括由如下人员订的订单:私有国防研究所 Qinetiq 的员工;位于波斯陶山的英国国防科技实验室的雷达研发基地;英国陆军步兵试验和开发部队 (Infantry Trials and Development Unit);英国全国上下的警方;当地议会;政府部门;以及数千个个人下的订单。

很多人的订单是照相机和其它光学工具以及无人机,反映了 Drones For Less 所形成的品牌电子商务网站网络。

信息安全研究员 Scott Helme 表示,“从技术角度来看,公开可访问目录中存在的这种信息不容忽视。这种信息应该存储在一个数据库中,肯定不应该放在互联网上并以明文形式存储!这家公司至少应该联系所有受影响客户并通知所暴露的信息内容,以便后者采取必要手段,如放任不管则可能被用于钓鱼邮件中。我希望英国信息专员办公室 (ICO) 也能采取相关措施,惩罚这家泄露如此大量的个人信息的公司。”

公司身份扑朔迷离

Drone For Less 将某个伦敦信箱 ETC 商店(实际上就是一个邮政信箱号码)作为其邮寄地址,以及一个 0203 SIP 号码(经配置后可转接全球任何地方的电话)作为联系号码。

The Register 首次于4月2日将数据泄露事件告知该网站运营人员。经由一段喜气洋洋的北美口音的自动语音回答后,接到了一名自称为 John 的消费者支持代表。他也具有典型的北美口音。John 要求在邮件中说明泄露详情。但随后将邮件发送给他并反复要求该公司出具声明时,未果。

经过无数次跟进电话后,John 通过邮件发出了 Drones For Less 公司的其他人员邮件地址,要求和他们进行联系。

Dronesforless.co.uk 的域名是由一家名为 “Mapleleafphoto LLC” 的公司注册的。经过 Whois 查询后得知该公司的地址是:加拿大多伦多市多伦多街道2号。这是一家 UPS 商店,因此它实际上是另外一家匿名的邮政信箱转接地址。

从表面上看相似的一家网站 Mapleleafphoto.ca 给出的联系地址位于加拿大魁北克,该公司似乎位于魁北克市的一个工业区。

上周早些时候,Drones For Less 公司的运营人员做出了无用功:将 The Register 发给该公司的信息泄露样本的链接删除。现在以 The Register 最大的努力能证明的是,该公司迫于压力将所有被泄数据删除,公众无法访问。

Drones For Less 公司似乎和 Cameras For Less、Video For Less 和 Tablets For Less 等紧密相连,这一点是从其“联系我们”页面上的房屋广告推断出来的。

英国政府发言人发布声明称,“我们非常严肃地对待我们的信息安全。我们已经要求涉事公司删除这些公开数据记录并通知受影响人员。”

英国信息专员委员会办公室和加拿大隐私专员办公室皆获悉此事。

本文由360代码卫士翻译自TheRegister

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。