因配置错误，智利超半数个人数据被暴露

安全资讯  2024年08月30日 15:52:17

Cybernews研究人员发现，智利最大的社会保障基金机构Caja Los Andes因一次数据泄露，导致1000万用户的数据遭到暴露，其数量超过了该国人口的一半。
发生大规模泄露的原因是该组织的 Apache Cassandra 数据库缺乏身份验证，以至于因配置错误导致任何互联网用户都可以访问其中存储的用户数据。

这些遭到暴露的数据包括用户的姓名、出生日期、家庭住址、电话号码、电子邮箱、信用额度、付款地点等详细信息。

尽管据报道，该组织在 2023 年拥有超过 400 万名用户，但泄露的数据数量是这个数字的两倍多，表明数据可能关联了用户的家庭成员以及一些已经过世的用户。
研究人员表示，这些数据包含的姓名、电话号码、电子邮箱和财务信息相互组合，可能让用户卷入真假难辨定向诈骗或网络钓鱼的骗局。

除了给用户带来的安全风险，这家组织也可能受到监管机构的处罚。根据智利的数据保护法，泄露了个人数据的公司最高可处以其年收入4%的罚款。

Caja Los Andes 成立于 1953 年，主要为公民提供健康保险、养老基金、贷款和抵押贷款，是智利最大的家庭津贴补偿基金 （CCAF）组织，拥有近3000名员工及约10亿美元的股权。

另据报道，今年1月在南美也曾发生过一起严重的数据泄露事件，由于一个Elasticsearch 实例被公开，多达2亿的巴西国民个人数据可能因此遭到暴露。
翻译自：cybernews