一次重大的數據泄露事件暴露了拉脫維亞一個文檔管理系統的數百萬條記錄,該系統主要由拉脫維亞政府使用。
雖然電子政務極大惠及了公民,但數字化也有其弊端,特別是數據安全。利特瓦裏斯(Lietvaris)是一個在擁有190萬人口的波羅的海國家拉脫維亞使用的文檔管理系統。
網絡安全新聞研究團隊最近發現了大量存儲在一個未受保護的Elasticsearch(一個搜索服務器)集群上的公開數據。該團隊將這個暴露的實例歸因于利特瓦裏斯平台,其中存儲了驚人的2500萬條記錄,對于一個不足兩百萬公民的國家來說,這是一個巨大的數字。
研究人員說:“這一事件凸顯了保持數據保護的重要性。尤其是對于存儲大量敏感個人信息的政府相關組織來說。” 我們的研究人員聯系了利特瓦裏斯的創建者,拉脫維亞軟件公司ZZ Dats,並立即關閉了開放的實例,向團隊保證將啓動內部調查以了解問題所在。網絡安全新聞還已聯系ZZ Dats征求官方評論,一旦收到回複,我們將更新文章。
拉脫維亞公民的哪些數據被曝光了?
利特瓦裏斯主要被公務員用于處理公民的申請和服務請求,這解釋了爲什麽平台的數據存儲在Elasticsearch上。企業利用它來存儲和處理大量的數據。
同時,該團隊聲稱,暴露的實例存儲了:
姓名和姓氏
國民身份證號碼
家庭住址
盡管沒有迹象表明攻擊者已經提取了曝光的數據,但惡意攻擊者不斷監視互聯網上未受保護的服務器,且有一個自動下載面向公衆的詳細信息的過程。
根據我們的研究人員,如果黑客確實拿到了這些數據,他們可能會制造麻煩。因爲數據集允許令人信服地冒充個人,所以最明顯的是透露全名、國民身份證號碼和家庭住址會增加身份盜竊的風險。 此團隊說:“另一個問題是隱私侵犯,因爲未經授權發布個人數據侵犯了公民的隱私權。此外,泄露可能削弱公衆對官方數據處理的信任。”唯一的一線希望是ZZ Dats迅速做出回應並解決了問題,在不到24小時內將數據從公衆視野中移除。
爲了減輕問題,研究人員建議采取以下行動:立即保護服務器的安全:限制公共訪問並要求所有Elasticsearch實例進行身份驗證合規性審查:評估潛在的違反歐盟數據保護法(如GDPR)的行爲,並根據要求報告調查與披露:進行徹底的內部審查以確定根本原因,並在必要時通知任何受影響的個體加密與訪問控制:在靜態和傳輸過程中應用加密,並對數據檢索實施嚴格的基于角色的訪問控制 監控與警報:
實施持續監控以檢測任何未授權嘗試訪問或修改數據庫的行爲
泄露發現日期:2024年11月1日
首次披露日期:2024年11月1日
泄露關閉日期:2024年11月2日
來源:https://cybernews.com/security/lietvaris-platform-leak-exposed-millions-records/
