信息化觀察網(wǎng)

一臺配置錯誤的服務(wù)器于未知的時間暴露了1.2億巴西公民的納稅人身份證號(Cadastro de Pessoas Fisicas，簡稱CPFs)。

巴西國民需要在開立銀行賬戶、創(chuàng)建企業(yè)、納稅或獲取貸款之前，先申請到CPF號碼，號碼會與所有者的個人和財務(wù)信息綁定，此類信息被泄露/公開，無疑是一種巨大的風(fēng)險。

根據(jù)InfoArmor的最新研究，2018年3月，一個Apache web服務(wù)器被發(fā)現(xiàn)配置不當(dāng)，暴露了存儲在其上的數(shù)據(jù)檔案。

默認情況下，Apache Web服務(wù)器返回名為index.html的默認文件的內(nèi)容（如果存在）。如果該名稱的文件不存在且目錄列表已啟用，它將顯示所請求文件夾中包含的文件和文件夾，并允許用戶下載。

根據(jù)下面顯示的配置錯誤的服務(wù)器的圖像，一定有人將默認的index.html文件重命名為index.html_bkp，這導(dǎo)致Web服務(wù)器執(zhí)行該文件夾中存儲的文件的目錄列表。這些文件是大小從27兆字節(jié)到82千兆字節(jié)的數(shù)據(jù)存檔。

當(dāng)InfoArmor打開其中一個檔案時，他們發(fā)現(xiàn)這是一個數(shù)據(jù)庫文件，其中包含與CPF，個人信息，軍事信息，電話，貸款和地址等相關(guān)的數(shù)據(jù)。

在嘗試聯(lián)系數(shù)據(jù)庫所有者并監(jiān)視公開目錄時，InfoArmor發(fā)現(xiàn)82 GB文件后來被原始的25 GB.sql文件替換。根據(jù)存儲在目錄中的文件類型及其中包含的數(shù)據(jù)，很可能此目錄用于存儲數(shù)據(jù)庫備份，還沒人意識到文件是公開可用的。雖然InfoArmor永遠無法確定誰擁有數(shù)據(jù)庫，但他們能夠聯(lián)系他們認為是托管服務(wù)提供商的人。最后，到3月底，目錄已得到保護，文件不再可用。

目前尚不清楚是否有其他研究人員或犯罪分子在脫機之前發(fā)現(xiàn)了這些數(shù)據(jù)。“主要問題是這種高度敏感和機密的數(shù)據(jù)是如何在第三方服務(wù)器上上線的，公然違反所有可能的安全性，合規(guī)性和隱私基礎(chǔ)？還有誰可以訪問這些數(shù)據(jù)及其副本？巴西政府需要進行徹底的調(diào)查，以確定誰應(yīng)該承擔(dān)責(zé)任。”網(wǎng)絡(luò)安全公司High-Tech Bridge的首席執(zhí)行官兼創(chuàng)始人Ilia Kolochenko表示。

通過確保名為index.html的文件（即使是空文件）位于文件夾中，可以防止此數(shù)據(jù)泄漏。這會阻止目錄列表的公開，因此文件永遠不會被暴露?；蛘?，可以使用Apache和Nginx的各種方法禁用目錄清單。禁用目錄列表和索引時。html文件或其他默認文檔不位于請求的文件夾中，服務(wù)器將使用404 not Found錯誤消息進行響應(yīng)。