本田汽车(Honda Motor Co.)今年第二次被发现在一个不安全的Elasticsearch数据库中暴露客户数据,尽管这次暴露的记录数量存在争议。
安全研究人员鲍勃·迪亚琴科12月11日今天发现并公布了这一被曝光的数据库,据称包括9.76亿张记录,其中迪亚琴科声称100万张记录是本田车主及其车辆。
Elasticsearch数据库不需要密码或其他认证,任何人都可以使用浏览器查看,包括全名、电子邮件地址、车辆识别号、协议ID号和其他车辆信息。
本田证实数据库已被曝光,但争辩说,客户记录的数量实际上是26,000份。本田也注意到,没有客户的财务信息,卡片数据或凭证被曝光..
不管实际曝光的客户记录数量是多少,本田可能会重复7月份所犯的同样错误,即1.34亿张记录被曝光,可能会上升到新的数据管理笨拙的水平。专家说,一家公司没有理由继续以这种方式重复数据曝光。
网络安全公司DivvyCloud Corp.的首席技术官Chris DeRamus告诉SiliconANGLE:“管理消费者数据的公司有义务确保数据的安全,然而,在同一年内发生的两起事件应该向本田发出信号,表明是时候实施适当的安全控制了。
“事实是,配置错误的数据库是去年最常见的违规原因之一,”DeRamus解释道。“然而,云的自助服务性质意味着不熟悉安全设置和最佳实践的用户可以很容易地创建数据库或改变配置,从而导致大量数据泄漏,这是他们所不知道的。
云访问安全代理BitGlass公司的CTOAnuragKahol指出,必须始终设置适当的安全控制来保护客户数据。
“虽然没有证据显示这些信息被恶意行为者泄露,但本田的数据库被曝光了一个多星期,”Kahol补充道。“对于网络犯罪分子来说,这是足够的时间来发现、获取和滥用这些数据。不幸的是,被曝光的个人可识别信息包括全名、电子邮件地址和电话号码,所有这些都可以用来发动高度针对性的钓鱼攻击。”
企业网络安全公司Attack IQ Inc.的联合创始人兼CTO Stephan Chenette表示,这种粗心大意在过去一年中很常见。他说:“如果受影响的公司不断验证其安全控制的有效性,这些事件本来可以很容易地被阻止。