首页
论坛
课程
招聘

本田泄漏量达26,000名车主和车辆信息

红数位 2019-12-20 20:17

在2019年10月21日错误配置Elasticsearch集群后,汽车巨头本田暴露了约26,000个车主记录,其中包含北美客户的个人身份信息(PII)。



 在12月12日,安全发现研究人员鲍勃·迪亚琴科(Bob Diachenko)与本田汽车联系后,本田在日本的安全团队立即在短短几个小时内就保护了可公开访问的服务器。


研究人员在12月11日发现了该数据库,并且在BinaryEdge Internet连接的设备搜索引擎在12月4日对该数据库建立了索引之后,便能够在不进行身份验证的情况下访问该数据。


公开的本田车主数据

数据库记录包括客户的全名,电子邮件地址,电话号码,邮寄地址,车辆型号和型号,车辆VIN,协议ID以及本田车辆的各种服务信息。


本田在一份声明中说:“有问题的数据库是北美远程信息处理服务的数据记录和监视服务器,涵盖了新客户的注册过程以及内部日志。”


“截至今天,本田公司估计该数据库中与消费者相关的唯一记录的数量约为26,000。”


该公司还表示,事件中没有泄露其北美客户的财务信息,信用卡数据或凭证。


尽管该公司在得知配置错误的Elasticsearch集群可以在Internet上公开访问后迅速做出了反应,但Diachenko表示,他们为期一周的公开曝光“将使恶意方有足够的时间根据自己的目的复制数据,如果他们发现了它。”


本田将继续进行尽职调查,如果确定数据遭到泄露,我们将根据相关法律和法规采取适当措施。我们将继续采取积极的安全措施,以防止将来发生类似事件。-本田


研究人员补充说:“如果犯罪分子设法在关闭服务器之前找到了信息,那么该数据库中的信息可能对他们很有用。” “如果认为自己可能会受到影响,最好假设最坏的情况并采取措施保护自己。”


如果本田客户的信息在数据库暴露的一周内被泄露,将来可能会用于针对性强的网络钓鱼攻击。



如果网上诱骗邮件也传递了恶意负载,威胁攻击者可能会利用这种攻击来窃取用户凭证和财务数据等敏感信息,或者用恶意软件感染目标计算机。


本田以前的数据泄露和违规事件

本田过去曾发生过类似事件,2019年7月以来的最近一次事件还涉及一个可公开访问的ElasticSearch数据库,该数据库针对全球约30万名本田员工暴露了1.34亿份文档,其中包含价值40 GB的信息。


作为该违规行为的一部分,本田的CEO信息还通过开放的数据库公开,显示了他的全名,帐户名,电子邮件和上次登录日期,以及与他的工作计算机有关的信息,包括“ MAC地址”(Windows KB /已应用补丁,操作系统,操作系统版本,端点安全状态,IP和设备类型。”


在2018年,本田印度公司还将客户的PII数据留在了两个公共的Amazon S3存储桶中,这些存储桶可以与任何具有互联网连接的人接触,并且至少需要三个月才能找到它。


记录包含客户名称,性别,电话号码,电子邮件地址和帐户密码,以及汽车VIN信息,经过近两周的反复尝试与公司取得联系,这些存储桶已脱机。


更远的是,在2010年,本田警告其客户发生一起涉及电子邮件列表的黑客攻击事件,攻击者可以利用该列表访问220万本田车主的姓名,电子邮件地址和车辆VIN,以及270万本Ac歌获得第二个列表访问权限后的客户电子邮件地址。



混迹安全圈,每日必看!

扫码关注我们 :)


分享到:
最新评论 (0)
登录后即可评论