专门提供身份、金融及隐私保护的网络安全企业InfoArmor本周指出,他们今年3月在网络上发现了一个配置错误的Apache网页服务器,暴露了1.2亿名巴西人们的详细数据,堪称为全球最严重的数据外泄事件之一,足以与去年外泄1.4亿名用户数据的Equifax事件相提并论。
巴西现有2.1亿名用户,代表该意外让57%的巴西人们个人信息曝光,而且很可能已经流落到黑市。
这批外泄的数据报含由巴西央行所发布的1.2亿名巴西人们的身份证号码,还链接了这些人们所使用的银行、贷款、还款、资产/负债历史纪录、投票纪录、姓名、联系人、雇主、联系电话与合约金额等。
Apache网页服务器的默认值会传回index.html文件的内容,但当index.html不存在时,它便会显示目录列表。但InfoArmor发现,对方将index.html名称变更为index.html_bkp,因而向全世界披露了它的目录列表,任何人只要知道该文件名称或是浏览到它就能无限制地访问其中的文件夹及文件。
研究人员指出,只要最基本的安全措施就能避免此事发生,一是不要变更index.html名称,二是禁用.htaccess配置访问,但该Apache网页服务器两项都没做到。
InfoArmor首席信息官Christian Lees指出,伴随着企业争先恐后地采用云计算服务,因人为疏忽所造成的数据外泄规模可能已是遭黑客入侵的10倍之多。
当侦测到该规模庞大的数据外泄事件之后,InfoArmor接着发现相关数据库的大小出现变动,且IP地址也改变了,显示对方可能已发现该意外,但目录却依然是开放的,一直到4月底才被修补。
另有网络安全专家建议,Apache用户也可通过各种方法关闭目录列表功能,这时就算是找不到index.html,也只会出现“404 Not Found”的错误消息。