Scrubs&Beyond泄露了400GB的纯文本用户PII和卡数据

目前,该服务器拥有超过100000条客户记录,总计400GB,而数据库大小和客户数量每天都在随着新信息的增加而增长。Scrubs&Beyond是一家颇受欢迎的医疗制服和配饰在线零售商,遭遇了严重的数据泄露事件,其客户的个人身份信息和敏感的财务数据被公开。

泄露的服务器包含大量个人信息,包括全名、电子邮件地址、手机号码、实际地址,甚至内部凭据,可以公开访问,任何知道如何使用Shodan等工具的人都可以下载开源情报(OSINT)工具通常被称为物联网(IoT)的搜索引擎。

该数据库于2023年5月16日曝光。研究人员在2023年5月25日确定了曝光,此后信息一直处于曝光状态。目前,该服务器拥有超过100000条客户记录,总计400GB。数据库大小和客户数量每天都在随着新信息的增加而增长。

CloudDefense的安全研究人员Anurag Sen表示,识别该服务器的身份表明,暴露的数据还包括纯文本信用卡详细信息,如卡号、CVV代码和到期日期,以及PayPal支付日志、购买日志和订单信息。这使受影响的客户面临更大的金融欺诈、身份盗用和其他恶意活动的风险。

正如上所见,暴露数据的完整列表包括以下内容:

1. 全名
2. 电子邮件地址
3. 电话号码
4. 物理完整地址
5. 内部凭证
6. 贝宝支付日志
7. 采购日志和订单
8. 带有CVV的完整支付卡详细信息和明文形式的到期详细信息。

这种违规行为尤其令人担忧,因为整个数据集在没有任何形式的安全身份验证或密码保护的情况下就被暴露了。这意味着任何可以访问互联网的人都可能访问和利用这些敏感信息,从而对受影响客户的隐私和财务安全构成重大威胁。

更糟糕的是,Sen曾多次就此问题向Scrubs&Beyond发出警告,但未收到该公司的任何回应。这种缺乏回应引发了对公司处理情况及其迅速解决安全问题的承诺的严重质疑。

购买过Scrubs&Beyond或与Scrubs&Beyond有过互动的客户应高度警惕任何与其个人和财务信息相关的可疑活动。受影响的个人应定期监控他们的财务账户,更改与其Scrubs&Beyond账户关联的密码,并考虑采取额外的安全措施,例如信用监控或欺诈警报。

这一事件清楚地提醒人们,强大的数据安全措施和对潜在漏洞的及时响应的重要性。受托客户数据的公司必须优先保护个人信息,并立即采取行动纠正任何安全漏洞,以保护客户的隐私。

由于服务器处于活动状态并且公司没有任何响应,因此如果数据落入恶意第三方手中,则滥用和滥用数据的可能性很高。

虽然可以利用这些数据进行与身份盗用相关的欺诈,但黑客可以扣留公司的服务器或 数据以索取赎金 ,如果他们的要求得不到满足,还可以将其泄露到网络犯罪论坛上。

Scrubs&Beyond尚未发布官方声明来解决违规问题或为受影响的客户提供指导。

发表评论

评论已关闭。

相关文章