零售外汇及差价合约经纪商fbs错误地配置云数据库之后,意外地泄露了超过20tb的客户敏感数据。
据悉,该数据库包含超过160亿条记录,泄露了数百万客户的个人身份信息(包括姓名、密码、电子邮件地址、护照号码、居民id、id验证扫描、信用卡、水电费账单、金融交易记录等)。
海外评论网站wizcase的研究人员发现,elasticsearch服务器没有任何加密或密码保护即可完全打开。
fbs是一家成立于2009年的俄罗斯外汇经纪商,在全球190个国家/地区拥有超过40万尊龙凯时官方旗舰店的合作伙伴和1600万名交易员。fbs是世界上最受欢迎的在线外汇交易平台之一。截至2021年1月,android系统的fbs应用在google play中的下载次数已超过一100万次。
近年来,随着在线交易变得越来越受青睐,用户在注册开户时需要提供许多个人详细信息,交易平台也有义务对这些客户信息进行加密保护。
作为国际外汇交易商,fbs通过fbs.com和fbs.eu在全球运营,每年利润超过10亿美元。由于金融交易数据的核心性与私密性,使得这些运营平台成为网络犯罪分子的极佳目标。
wizcase首先发现fbs于去年10月使elasticsearch服务器在网上暴露了出来。wizcase很快联系了该公司,fbs于10月5日对该服务器进行了安全保护。但是,在短短几天内,该服务器就失去了安全保护,泄漏了将近20tb的数据,其中包含超过160亿条记录。
根据wizcase的说法,其他详细信息包括fbs用户id,未加密的密码,登录历史记录,会员数据和密码重置链接。
借助这种个人身份信息手段,诈骗者可以在线冒充受害者以进行身份欺诈,或者使用该信息通过后续的网络钓鱼攻击从受害者那里获得更为敏感的详细信息。
通过扫描用户信用卡的两面,网络犯罪分子也可以很容易地进行付款欺诈,同时泄露的密码信息可能会导致帐户托管攻击。
wizcase警告说,那些交易数据可能会导致一些入金数额大的群体被不法分子针对他们的家庭住址进行敲诈勒索。
为了进一步保护交易者个人信息,wizcase建议用户与fbs联系以寻求更多帮助,更改其密码,在其设备上安装反恶意软件,启用双重身份验证,避免在电子邮件中打开可疑链接或附件,并检查他们的帐户是否存在欺诈或异常活动,并使用vpn来在线获取其他隐私和安全性。
来源:https://mbd.baidu.com/newspage/data/landingsuper?context={"nid":"news_9247049843585437666"}&n_type=1&p_from=3
试用申请
产品咨询:4000 258 365 
