在过去几个月里,收到新不伦瑞克公司BNI递送的亚马逊包裹的人,可能会在网上看到他们前门的照片,这是网络安全专家非常熟悉的一种隐私泄露的最新例子。
自由网络开发人员马克西姆•圣皮埃尔(Maxime St-Pierre)发现,任何有电脑的人都可以公开访问BNI跟踪和送货通知的数据库——包括送货证明照片、准确的GPS坐标和送货时间。
圣皮埃尔说:“我只是偶然发现了它。”当他收到BNI快递的包裹时,他对跟踪软件很好奇。
数据库中不包括姓名,也不包括付款和信用卡信息,但一些送货照片显示了送货标签,其中包括收件人的姓名和地址。
BNI也被称为Brunswick News Inc.,在去年被Postmedia收购之前由J.D. Irving Ltd.拥有。该公司不仅在新不伦瑞克省配送亚马逊包裹,还在安大略省、魁北克省、新斯科舍省和爱德华王子岛等省配送。
Postmedia发言人Phyllise Gelfand在一份声明中表示,该公司“最近才意识到”这一问题。
St-Pierre说,BNI存储所有跟踪和交付信息的所谓“S3桶”数据库被错误地配置为公共数据库,而本应设置为私有数据库。
“我们立即关闭了对这些文件的访问,并在数小时内实施了永久解决方案。现在只有个别顾客才能看到他们的送货照片。”
“这些图像最多只能显示姓名和地址,也许还能识别出供应商。”
编辑一个URL,找到一个包?
该公司的跟踪号码是连续的,所以如果有人有一个跟踪号码,他们可以改变几个数字,得到其他人的跟踪信息。
经过反复试验,有人可以识别出最近的快递,它们的位置和拍摄照片的时间。
圣皮埃尔说,只需要最基本的软件知识,人们就能在浏览器中编辑URL,并找到数据库中每个条目的根列表,他就是这样找到它的。
他说,在一个安全的数据库中,访问将被拒绝。
St-Pierre说BNI使用的数据库服务默认是公开的,所以他以前已经见过很多次这个问题了。他说,这表明始终检查可能的隐私泄露并持续执行安全审计是多么重要。
“他们是唾手可得的目标。如果有人能在15分钟内找到他们,如果他们有4个、8个、12个小时,他们能找到什么?”
试图合作Ntact公司优先
圣皮埃尔说,他两个月前偶然发现了这个不安全的数据库,并试图联系BNI并提醒他们这个问题。
但他的电子邮件和电话无人接听,他终于在周三将这一发现发布在网上,以警告人们。
不到四个小时,BNI就关闭了追踪网站。
盖尔芬德表示,该公司仍在调查这个问题存在了多长时间。
她说:“如你所知,Postmedia于2022年3月收购了该业务,目前正在将收购的平台纳入我们经过审计的安全实践。”
她说,如果客户有顾虑,他们可以联系Postmedia的隐私官。
圣皮埃尔说,他很高兴该公司迅速做出了改变。
“我看到一些公司好几周都没有采取行动……但在这种情况下,我们应该给予他们应有的信任。”
对客户的影响不容易知道
网络安全专家David Shipley表示,这种类型的数据库泄露非常常见,而这还不是最糟糕的情况。
2019年,由于S3数据库保护不当,Capital One Financial的数据库被攻破。
希普利说,很难说BNI不安全的数据库会对客户产生什么影响,因为他不知道数据库是否真的被怀有恶意的人访问过。
他说:“人们真的受到影响了吗?还是大门只是敞开着?”
他说,有日志可以显示不规律的活动,有助于回答这个问题。
他说,支付信息和包裹内容的详细信息不在数据库中,这是个好消息。