情境示意圖,photo by Jan Antonin Kolar on unsplash

一個包含旅泰人士個資的資料庫未做好防範,使超過1.06億筆資料,包括十年內造訪該國人士的姓名、護照號碼等被公開於網路上。不過泰國政府表示資料庫尚未遭到不法存取。

安全廠商Comparitech安全研究中心主管Bob Diachenko於8月底,發現了一個包含200GB的ElasticSearch資料庫,分析後研判隷於泰國某政府機關。

該資料庫內最重要的是一個包含超過1.06億筆資料,顯然是集結訪泰旅客的個資。其中每一筆資料都包含旅客全名、性別、護照號碼、簽證類別、入境日期及入境卡號等。根據研判,這些資料可能包含近十年內造訪泰國的所有外國觀光客或商務人士的資料。Diachenko甚至在其中發現自己的個資。所幸公開的資料庫未包含銀行帳戶或聯絡資訊。

研究人員立即通知泰國政府,後者很快回應並加入防護。這個資料庫已被移往別處,原有IP端點則被連結誘捕系統,以搜捕動作太慢的不法人士。

這個資料庫在8月20日由搜尋引擎Censys索引過,2天後才被研究人員發現。至於被索引前這個資料庫掛在網路上多久則不得而知。研究人員指出,該公司的誘捕系統實驗證實,攻擊者可以在幾小時內找到並存取這個資料庫。

泰國當局聲稱這些資料並未遭到任何未授權存取。

這是最新一起的國家級資料庫安全事件。近日先後有印尼百萬民眾疫苗接種資料、美國政府蒐集約190萬名全球恐怖份子的觀察名單。2019年厄瓜多市調公司雲端資料庫外洩事件洩露了近700萬兒童個資、包括維基解密創辦人Julian Assange及厄瓜多總統的個資,總數超過該國人口數。


熱門新聞

Advertisement