一台配置错误的服务器于未知的时间暴露了1.2亿巴西公民的纳税人身份证号(Cadastro de Pessoas Fisicas,简称CPFs)。
巴西国民需要在开立银行账户、创建企业、纳税或获取贷款之前,先申请到CPF号码,号码会与所有者的个人和财务信息绑定,此类信息被泄露/公开,无疑是一种巨大的风险。
根据InfoArmor的最新研究,2018年3月,一个Apache web服务器被发现配置不当,暴露了存储在其上的数据档案。
默认情况下,Apache Web服务器返回名为index.html的默认文件的内容(如果存在)。如果该名称的文件不存在且目录列表已启用,它将显示所请求文件夹中包含的文件和文件夹,并允许用户下载。
根据下面显示的配置错误的服务器的图像,一定有人将默认的index.html文件重命名为index.html_bkp,这导致Web服务器执行该文件夹中存储的文件的目录列表。这些文件是大小从27兆字节到82千兆字节的数据存档。
当InfoArmor打开其中一个档案时,他们发现这是一个数据库文件,其中包含与CPF,个人信息,军事信息,电话,贷款和地址等相关的数据。
在尝试联系数据库所有者并监视公开目录时,InfoArmor发现82 GB文件后来被原始的25 GB.sql文件替换。根据存储在目录中的文件类型及其中包含的数据,很可能此目录用于存储数据库备份,还没人意识到文件是公开可用的。虽然InfoArmor永远无法确定谁拥有数据库,但他们能够联系他们认为是托管服务提供商的人。最后,到3月底,目录已得到保护,文件不再可用。
目前尚不清楚是否有其他研究人员或犯罪分子在脱机之前发现了这些数据。“主要问题是这种高度敏感和机密的数据是如何在第三方服务器上上线的,公然违反所有可能的安全性,合规性和隐私基础?还有谁可以访问这些数据及其副本?巴西政府需要进行彻底的调查,以确定谁应该承担责任。”网络安全公司High-Tech Bridge的首席执行官兼创始人Ilia Kolochenko表示。
通过确保名为index.html的文件(即使是空文件)位于文件夹中,可以防止此数据泄漏。这会阻止目录列表的公开,因此文件永远不会被暴露。或者,可以使用Apache和Nginx的各种方法禁用目录清单。禁用目录列表和索引时。html文件或其他默认文档不位于请求的文件夹中,服务器将使用404 not Found错误消息进行响应。
