以色列行銷公司Straffic外洩4,900萬筆通訊錄

一名代號為0m3n的DevOps工程師，在這幾天揭露了一家以色列行銷公司Straffic的資料庫外洩意外，該資料庫存放了140GB的通訊錄，內含4,900萬名使用者的姓名、電話號碼及地址，有趣的是，該資料庫雖有設定密碼保護，但Straffic卻在一個連結到該資料庫的隨機網域上，留下了明文的資料庫憑證。

0m3n向ISMG透露，他是因為過去兩年一直受到垃圾簡訊的騷擾，而且這些簡訊都連結到一些奇怪的網域，使得他決定一探究竟，並在其中一個網域上找到了一個.env檔案，這是一個指向AWS Elasticsearch實例的配置檔，且這個配置檔上以明文存放了該Elasticsearch實例的存取憑證。

因此，就算此一Elasticsearch實例設有密碼保護，但Straffic卻把密碼以明文置放在隨機網域上的檔案，而出現了安全漏洞。

Straffic則在消息曝光後發表了簡短的聲明，指出他們所使用的其中一個網站含有安全漏洞，在證實漏洞的存在之後隨即修補了它，也強化了現有的安全機制。

不過，Straffic既未說明產生安全漏洞的原因，也未公布資料外洩的細節與數量，還在聲明中表示「要打造一個完全免疫的系統是不可能的，這些事就是會發生。」而使得Have I Been Pwned的創辦人Troy Hunt批評，這真是他所見過的最糟糕的揭露通知之一。