圖片來源: 

InfoArmor

專門提供身分、金融及隱私保護的資安業者InfoArmor本周指出,他們今年3月在網路上發現了一個配置錯誤的Apache網頁伺服器,曝露了1.2億名巴西民眾的詳細資料,堪稱為全球最嚴重的資料外洩事件之一,足以與去年外洩1.4億名用戶資料的Equifax事件相提並論。

巴西現有2.1億名用戶,代表該意外讓57%的巴西民眾個資曝光,而且很可能已經流落到黑市。

這批外洩的資料包含由巴西央行所發放的1.2億名巴西民眾的身分證號碼,還連結了這些民眾所使用的銀行、貸款、還款、資產/負債歷史紀錄、投票紀錄、姓名、聯絡人、僱主、聯絡電話與合約金額等。

Apache網頁伺服器的預設值會傳回index.html檔案的內容,但當index.html不存在時,它便會顯示目錄列表。但InfoArmor發現,對方將index.html名稱變更為index.html_bkp,因而向全世界揭露了它的目錄列表,任何人只要知道此一檔案名稱或是瀏覽到它就能無限制地存取當中的文件夾及檔案。

研究人員指出,只要最基本的安全措施就能避免此事發生,一是不要變更index.html名稱,二是禁用.htaccess配置存取,但該Apache網頁伺服器兩項都沒做到。

InfoArmor首席情報長Christian Lees指出,伴隨著企業爭先恐後地採用雲端服務,因人為疏忽所造成的資料外洩規模可能已是遭駭客入侵的10倍之多。

當偵測到此一規模龐大的資料外洩事件之後,InfoArmor接著發現相關資料庫的大小出現變動,且IP位址也改變了,顯示對方可能已察覺此一意外,但目錄卻依然是開放的,一直到4月底才被修補。

另有資安專家建議,Apache用戶亦可透過各種方法關閉目錄列表功能,這時就算是找不到index.html,也只會出現「404 Not Found」的錯誤訊息。


Advertisement

更多 iThome相關內容