中科天齐软件源代码安全检测中心
总的来说,CPA 在没有任何安全认证的情况下暴露了502 GB的数据。
近日,安全研究人员Anurag Sen发现了一起数据泄露事件,其中发现属于卡尔加里停车管理局 (CPA) 的服务器暴露了卡尔加里数千名司机的私人信息,包括一些用户密码。
值得注意的是,CPA 监管该地区约14%的付费停车位,并允许司机在支付费用并在线或通过手机应用程序预订停车位后停车,他们需要输入付款详细信息和车辆牌照数字。
在今年4月发生过相似的数据泄露事件。黑客盗取并泄露了来自ParkMobile的数据,其中超过 2100 万条用户记录,数据据称属于希拉里·克林顿、唐纳德·特朗普和网络安全记者布莱恩·克雷布斯等一些知名人士。
而ParkMobile 是一家总部位于佐治亚州亚特兰大的公司,提供免费应用程序,允许用户在美国各地查找开放停车位,并通过智能手机在舒适的汽车中付款,以节省摆弄计价器所需的时间。ParkMobile承认遭受了与他们使用的第三方软件中的漏洞相关的网络攻击。
此次暴露的数据有哪些?
Sen在一个网络地图项目中首先确定了暴露的服务器,他告诉记者,数据包含的信息很广泛,例如:
全名
电子邮件地址
出生日期
车辆详情
地址
停车票详情。
此外Sen透露,这些数据还包括部分卡信息,包括 CVV和到期日期、访问令牌,其中一些数据还包含密码和付款详细信息。
进一步调查发现,服务器被暴露是因为它没有密码保护,这意味着任何拥有服务器URL 的人都可以访问它。
超过500 GB的数据暴露
暴露的服务器大小为502 GB,包含超过100,000个用户的数据/记录。Sen 还与记者分享了一些服务器内容的截图。糟糕的是,数据并没有加密,这是一个明显的安全漏洞。
在一份声明中,CPA的发言人表示,她们核实了这个问题并实施额外的安全措施来限制对数据未经授权的访问,以保护系统安全和客户隐私。
网络安全的核心问题是保护数据
数据作为生产力,已经成为“国家基础性战略资源” 。随着数据的急剧增长和应用场景的日趋丰富,数据安全问题也日益突出。近年来国际上层出不穷的数据事件告诉我们,保证网络安全的核心问题是保护数据。
在数据泄露过程中,网络犯罪分子可以使用先进的技术手段绕过防火墙,躲过杀毒软件,直接利用软件中的安全漏洞窃取数据。因此,仅靠传统安全防护手段并不能作为完整的网络安全防护策略。
提升软件自身安全性,是现有网络防护手段的重要补充!尤其在软件开发时不断检测修复代码缺陷,是减少数据丢失的重要手段!随着网络环境愈发复杂险恶,软件系统面临更加严重的安全威胁,建议企业在缺陷修复成本较低时,采用自动化安全检测工具,如静态代码安全检测工具及时修复安全漏洞降低修复成本,避免带来更大的经济损失和企业影响。
参读链接:
https://www.woocoom.com/b021.html?id=5379b1052e8b4bb4ae65f7747543c3f7
https://www.hackread.com/calgary-parking-authority-exposed-sensitive-data/
