美国演员选拔公司泄露了超26万人的隐私数据

 网喵   2020-07-17 17:45     0 条评论

一个为电影和电视节目挑选人才的流行网站泄露了大约26万人的在线个人数据。

在ZDNet独家分享的一份报告中,由Anurag Sen领导的网络安全小组的安全侦探说,这次入侵是在今年6月初被发现的。

总部位于新奥尔良的MyCastingFile.com是一家招聘人才的在线演员经纪公司。用户可以免费或基于订阅进行注册,来申请演员录用通知。该公司声称为《真探》、《完美音高》、《海军罪案调查处:新奥尔良》和《终结者:创世纪》等影片提供了演员。

安全侦探在美国发现了一个开放的Elasticsearch服务器,该服务器由Google Cloud托管。该数据库没有通过任何形式的验证来保护,总共有近1000万条记录被泄露。

该数据库的大小为1GB。经调查,该团队发现超过260000个网站用户的个人资料被泄露,其中包括有知名演员和潜在的雇主。

通过公开提供的个人身份信息(PII),泄漏的内容包括姓名、实际地址、电子邮件地址、电话号码、工作经历、出生日期、身高和体重、种族以及潜在雇主感兴趣的身体特征,例如头发颜色和长度。

此外,记录还包括车辆所有权信息,例如型号、颜色和制造年份。

被泄露的数据还包括面部和身体的照片;但是,由于它们被托管于不同云服务的多个位置,因此只有部分图像被暴露。

未满18岁的未成年人也可以成为该平台的注册用户,只要他们的账户能获得监护人的同意并由其监护人管理。

“从数据泄露中,我们有可能确定有哪些数据是属于儿童的,但我们的安全团队没有对可用数据进行完整的下载或人口统计分析——首先也是最重要的是出于道德原因,”该团队指出。

服务器记录表明,此漏洞暴露始于5月31日。MyCastingFile当时正在将数据迁移到新平台,因此问题可能与数据移动有关。(相关原因有待该公司进一步澄清。)

安全侦探花了一些时间核实数据库的所有者,最终在6月11日找到了MyCastingFile。同一天,该机构对报告做出了回应,并对服务器采取了保护措施。

不幸的是,MyCastingFile的快速反应在当今已经很少见了。许多研究人员在报告开放数据库问题时,遇到的组织可能需要数周(或数月)来解决问题,或者可能完全忽略请求。

我们会持续关注该事件,敬请期待MyCastingFile的进一步回应。

*本文出自SCA安全通信联盟,转载请注明出处。(SCA安全通信联盟原创文章对外开白,欢迎加微信MrYe9173751开白)

本文地址:http://cn-mobi.com/?p=4142
版权声明:本文为原创文章,版权归 网喵 所有,欢迎分享本文,转载请保留出处!

 发表评论


表情