在外汇市场中,用户在使用外汇交易平台是会产生TB级的机密数据。这些交易数据库中的用户数据是高度敏感的,也是许多分子的目标。
近日,WizCase安全团队在扫描FBS服务器时发现了严重的数据泄露事件,数以百万计的机密记录,包括用户姓名、账号密码、电子邮件地址、护照号码、信用卡、交易数据等信息可能落入不法分子手中。
FBS是一家国际在线外汇交易平台,成立于2009年,在全球190个国家/地区拥有超过40万名合作伙伴和1600万名交易员,是世界上核心外汇交易平台之一。
在FBS的交易平台用户数量众多,每20秒就有用户提交一次提款请求,因此产生了巨大的交易数据,然而与此对应的却是一个不安全的ElasticSearch服务器。研究人员在调查时发现FBS服务器处于开放状态,没有任何密码保护或加密,任何人都可以访问FBS的信息。
泄密信息
近20TB的数据泄漏,包括超过160亿条记录。遍布全球的数以百万计的FBS用户受到影响。泄漏的信息包括以下内容:
用户基础信息:姓名、电子邮件地址、电话号码、帐单地址、国家、时区、IP地址、座标、护照号码、行动装置型号、操作系统、发送给FBS用户的电子邮件、社交媒体ID,包括GoogleID和FacebookID、用户上传的用于验证的文件,包括个人照片,身份证,驾驶执照,出生证明,银行对帐单,水电费账单和未编辑的信用卡。
用户详细信息:FBS用户ID、FBS帐户创建日期、以base64编码的未加密密码、密码重置链接、登录历史、忠诚度数据包括忠诚度等级、等级积分、奖励积分、累计存款、活跃天数、活跃客户、累积积分和消费积分。
财务数据:用户交易信息包括存款金额、货币、支付系统、交易id、账户id、交易日期、存款次数、最后存款金额、最后存款日期、存款总额、贷方、余额、上月余额、利率、税项、股本和可用保证金。
FBS用户面临的风险。身份盗窃及诈骗、诈骗、网络钓鱼和恶意软件、信用卡诈骗、勒索、个人安全、商业间谍活动、帐户接管。
个人信息安全现状
在此前的315晚会中,央视曝光了智联招聘、前程无忧、猎聘网等由于缺乏管理,大量个人简历泄露,还有各种APP打着清理内存的名义,却通过技术手段不断获取手机中的信息,包括应用列表、定位信息、通讯录等,数以亿计个人信息通过这种方式被搜集 ,被倒卖形成黑色产业。
2020年,公安机关打击利用工作之便窃取、泄露公民个人信息的违法犯罪行为,各行业内部都有涉案人员,查获重点行业内部涉案人员500余名,而这不过是冰山一角。
不只是国内,全球也是网络攻击频发,其中商业领域首当其冲每年几十亿条信息被泄露。据Risk Based Security数据显示,2019上半年,全球发生的网络安全事件达到3813起,同比增长54.06%;数据泄露达到41.85亿条,同比增长52.90%,网络安全状况进一步恶化。分行业来看,商业领域由于具备丰富且高价值的资源,往往成为网络攻击的对象,上半年接近70%的网络安全事件集中发生在此。
个人信息明码标价
连接买家和盗取客户信息的中间商叫料商,个人数据就是通过这些人不断在黑市流通,料商甚至还有自己的代理商。
有记者曾报道,个人信息如果仅包含个人普通信息比如电话号码、微信、QQ号等,平均拿货成本价每条信息在4毛左右,卖出去的单条价格在7~8毛左右,每条个人信息约赚3~4毛左右。一个料商每个月销售数据流水大概在40万~50万元。
除了这些低价信息,还有深度挖掘的高价信息。如身份证号、出行记录、开房记录、通话记录、家庭成员、工作、婚姻状态、户籍所在地等。
这些信息明码标价查询个人简易信息15元/条,包含姓名、性别、手机号;中级信息50元/条,除了简易信息外,还包含户籍地址、身份证号、照片;高级信息100元/条,在中级信息基础上还包含现住地址、开房记录、车辆信息;VIP客户600元/条。
现如今这些市场从业者已经超过40万人,依托其进行网络诈骗行业人数至少有160万人,“年产值”在1000亿元以上。
结论
在国内个人信息泄密已经相当严重,每个人的信息至少都泄露了4、5次,这些信息在不法分子手中,就是诈骗投资者的利器,因此每一位投资者不仅要保护好个人信息,更要做好黑平台的审核,不要轻信骗子的花言巧语。