全球翻译服务在线暴露高度敏感信息
被曝光的文件包括佛罗里达州的驾驶执照、乌克兰大使的一封信以及联邦调查局的背景调查文件。
人们认为离线纸质文档永远不会构成在线数据风险。然而,这只是一个假设,因为最新研究表明这些文件是可能被泄露的。
Website Plant的安全研究员Jeremiah Fowler发现了一个不受密码保护的数据库,其中包含超过25,000条记录,全部公开,其中包括“高度敏感”文档。
据报道,该数据库属于全球翻译服务提供商Kings of Translation。
这是Fowler向Hackread透露的。值得注意的是,Kings of Translation是一家总部位于纽约的公司,自称是该国优质翻译服务提供商,提供120多种语言的翻译服务。
数据库内容
Fowler发表在Websiteplanet上的研究显示,暴露的数据包含PII(个人身份信息)、源代码的内部屏幕截图以及存储在上传文件夹中的客户文档,包括以下内容:
护照
驾驶执照
商业文件
签证申请被拒绝
出生和婚姻记录
美国联邦和州税务申报
这些文件属于来自全球各地的客户。数据库中包含大约25601条记录。
数据库所有者是如何被发现的?
Fowler发现了与位于纽约的Kings of Translation相关的发票和参考资料。
这就是研究人员识别数据库所有者的方式。Kings of Translation允许客户通过其开发的技术自动上传文件和转账付款。
Fowler声称,这是他在职业生涯中第一次遇到来自翻译服务及其客户的数据。
他还指出,这是此类多功能文档第一次成为数据库的一部分。
可能的安全风险
这是一个令人震惊的发现,因为它涉及一家收集各种文件的企业。通常,企业存储与其行业相关的数据。
但这个案例有所不同,由于该数据库属于翻译服务,因此这些文件非常敏感,因为其中许多文件是教育机构或外国政府需要的。
此外,这些文件还披露了出生、结婚、离婚、死亡证明等重要的个人详细信息。
Fowler还与我们分享了一些被曝光文件的屏幕截图,其中包括佛罗里达州驾驶执照、乌克兰大使的一封信、以及联邦调查局背景调查文件。
泄露的文件包括联邦调查局文件和佛罗里达州驾驶执照
此外,许多法律文件也被泄露,例如法庭文件、合同、需要翻译以确保符合法律要求的证书以及签证或移民相关文件。
此类文件一旦泄露,可能会使受影响的人容易遭受税务欺诈或身份盗窃,或者网络犯罪分子可能会提交虚假纳税申报表、代表受害者要求退款或以他们的名义获得信贷。
政府文件和信函可能会泄露商业秘密,使受害者承担债务、费用或罚款。
Fowler立即通知该公司,并于当天限制公众访问该数据库。
研究人员无法确定该数据库在访问受到限制之前已公开暴露了多长时间,并且尚未收到Kings of Translation的任何回复。
