Resecurity 安全公司披露,一名在地下数据市场活跃的情报贩子 “888” 公布了从巴西知名机构 CIEE(企业与学校融合中心) 窃取的 248,725 条敏感个人记录。该机构主要负责为学生提供实习与学徒机会。
本次泄露的数据源自一个配置错误的 Google Cloud Storage 存储桶,内容极为敏感,包括医疗报告、个人简历、证件照,甚至还有用于求职的视频材料。
Resecurity 指出,攻击者 “888” 并非新手,其活跃轨迹可追溯至 2024 年,曾攻击对象涵盖 微软、宝马(香港) 以及多家科技、货运、能源企业:“‘888’ 自 2024 年起便在暗网论坛活动,频繁以大型企业为攻击目标,并通过贩售敏感数据获利。”
CIEE 平台因广泛与巴西本地银行、电信、能源与科技公司合作,成为信息集中的重要枢纽,也因此被网络犯罪者盯上:“此类服务聚集了大量用于尽调和招聘流程的敏感 PII(个人可识别信息),极具攻击价值。”
公开暴露的数据细节:
Resecurity 威胁情报团队发现,名为 ciee-storage.storage.googleapis.com 的云存储桶未设置访问限制,超过 36.4 万个文件可被公众访问,涉及总数据量达约 28 GB,包含:
-
281,912 张 个人证件照(JPEG/PNG)
-
约 8,000 条 求职视频(MP4/MOV)
-
约 40,000 份 简历(PDF/JPEG)
-
285 个 CSV 文件,含近 30 万条 候选人记录(姓名、邮箱、手机号、CPF 纳税人识别号、职位等)
-
2,838 份 医疗报告(PDF)
-
264 个 Excel 文件,包含内部追踪与分析数据
Resecurity 强调了此次泄露的严重性:“这些文件涉及大量个人身份信息(PII)、财务文档、医疗记录、多媒体文件与内部资料。”
泄露风险极高,部分信息无法更改或撤销
尤为令人担忧的是,本次泄露不仅包括姓名和联系方式,更涉及人脸图像、生物信息、医疗记录与身份文件,这些信息一旦流出,无法像密码那样简单重置或废止。
攻击者 “888” 在地下论坛以“信誉买家”著称,长期以真实数据交易获利,支持使用匿名性更强的门罗币(XMR)进行交易。其行为模式被认为与近期被FBI起诉的著名泄密者 IntelBroker 类似。
为证明数据真实性,攻击者公开了部分样本,Resecurity 随后联系了其中多位受害者,所有人均证实曾在 CIEE 注册使用。
“攻击者未透露数据提取方式,但公布了大批数据样本,Resecurity 核实后确认其为真实信息。”
根因确认:云存储配置错误,成为攻击切入点
此次数据泄露的根源是 Google Cloud 存储桶配置错误,该类型错误在近年已成为攻击者最常利用的目标:“云存储暴露已成为网络犯罪分子的高频攻击手段。”
攻击者通过自动化扫描工具在互联网上搜索未设访问控制的公开存储桶,CIEE 的云桶未启用任何身份验证机制,导致大量私密信息被直接访问下载。
发表评论
您还未登录,请先登录。
登录