• 發布單位:TWCERT/CC
• 更新日期:2020-04-06
• 點閱次數:1640

以色列數位行銷業者未能妥善處理系統資安設定，導致近五千萬人的電子郵件信箱等個資在網路曝光。

據媒體報導指出，這家名為 Straffic 的以色列數位行銷公司外洩的資料庫大小，高達 140GB，內含個資除了 Email 外，還包括姓名、電話號碼、實體地址等。

這個資料庫存放在 AWS 上，可能是因為 Straffic 的人員未能正確設定伺服器與資料庫的資安原則，同時沒有適當存放其登入資訊，導致這起外洩事故。

獨立資安研究者在研究垃圾信件寄送過程時，無意發現了存在網路上的某個 .env 檔，內含指向某個 Elasticsearch 資料庫的登入資訊，該研究者因而發現這個巨大資料庫。

該公司於二月26日發表簡短聲明，承認發生資料外洩事件，但強調問題已經解決，且尚未發現這批資料有遭濫用或被竊的情形。

著名資安研究者 Troy Hunt 指出，這批曝光的 Email 地址當中，已經有七成都在他提供的「Have I been Pwned」被駭資料庫中出現，但這也表示有多達三成的 Email 是過去未曾被竊過的。