在有权访问数据库的公司将其留在没有密码的服务器上之后,道琼斯所拥有的风险个人和公司实体的观察名单已被泄露。独立安全研究员Bob Diachenko发现亚马逊 *** 服务托管的Elasticsearch数据库暴露了240多万个人或商业实体的记录。
这些数据是金融巨头的观察名单,该公司将其作为风险和合规工作的一部分。汤森路透(Thomson Reuters)等其他金融公司拥有自己的高风险客户(例如政治风险人士和 *** )数据库, – 但多年来也出现过安全漏洞。
一个2010年的小册子指出道琼斯观察名单是为使客户能够对数据库中的任何个人或公司“轻松,准确地识别高风险客户提供详细,最新的配置文件”。这本小册子称,当时数据库有650,000个条目。
这包括现任和前任政治家,受制裁的个人或公司,或被判犯有欺诈等高调金融犯罪的人,或与恐怖主义有联系的任何人。根据TechCrunch发现的泄露数据库中的记录,名单上的许多人都包括“特殊利益者”。
Diachenko 撰写了他的调查结果,称该数据库是“索引、标记和搜索的”。
这些数据都是从公共资源中收集的,例如新闻报道和 *** 档案。许多个人记录都来自道琼斯的Factiva新闻档案,该档案从许多新闻来源收集数据 – 包括道琼斯旗下拥有的《华尔街日报》。然而,包含个人或公司名称,或者名称存在于数据库中的原因,是专有的并且受到严密保护。
BBC此前报道称,许多金融机构和 *** 机构使用该数据库来批准或拒绝融资,甚至是关闭银行账户。
Diachenko此次发现的记录变化很大,但可以包括名称、地址、城市及其位置,是否已经死亡,在某些情况下还包括照片。Diachenko还发现了出生日期和性别。每个配置文件都有从Factiva和其他来源收集的大量笔记。
随机发现的一个名字是Badruddin Haqqani,他是 *** 有关的哈卡尼游击队叛乱 *** 的指挥官。2012年,美国财政部对 Haqqani和其他参与资助恐怖主义行为的人实施制裁。几个月后,他在巴基斯坦的一次美国无人机袭击中丧生。Haqqani的数据库记录被列入“制裁名单”和“恐怖主义”,其中包括以下内容:
DOW JONES NOTES:
Killed in Pakistan’s North Waziristan tribal area on 21-Aug-2012.
OFFICE OF FOREIGN ASSETS CONTROL (OFAC) NOTES:
Eye Color Brown; Hair Color Brown; Individual’s Primary Language Pashto; Operational Commander of the Haqqani Network
EU NOTES:
Additional information from the narrative summary of reasons for listing provided by the Sanctions Committee:
Badruddin Haqqani is the operational commander for the Haqqani Network, a Taliban-affiliated group of militants that operates from North Waziristan Agency in the Federally Administered Tribal Areas of Pakistan. The Haqqani Network has been at the forefront of insurgent activity in Afghanistan, responsible for many high-profile attacks. The Haqqani Network’s leadership consists of the three eldest sons of its founder Jalaluddin Haqqani, who joined Mullah Mohammed Omar’s Taliban regime in the mid-1990s. Badruddin is the son of Jalaluddin and brother to Nasiruddin Haqqani and Sirajuddin Haqqani, as well as nephew of Khalil Ahmed Haqqani.
Badruddin helps lead Taliban associated insurgents and foreign fighters in attacks against targets in south- eastern Afghanistan. Badruddin sits on the Miram Shah shura of the Taliban, which has authority over Haqqani Network activities.
Badruddin is also believed to be in charge of kidnappings for the Haqqani Network. He has been responsible for the kidnapping of numerous Afghans and foreign nationals in the Afghanistan-Pakistan border region.
UN NOTES:
Other information: Operational commander of the Haqqani Network and member of the Taliban shura in Miram Shah. Has helped lead attacks against targets in southeastern Afghanistan. Son of Jalaluddin Haqqani (TI.H.40.01.). Brother of Sirajuddin Jallaloudine Haqqani (TI.H.144.07.) and Nasiruddin Haqqani (TI.H.146.10.). Nephew of Khalil Ahmed Haqqani (TI.H.150.11.). Reportedly deceased in late August 2012.
FEDERAL FINANCIAL MONITORING SERVICES NOTES:
Entities and individuals against whom there is evidence of involvement in terrori *** .
道琼斯公司发言人Sophie Bent表示:“这个数据集是我们的风险和合规性产品的一部分,完全来自公开的来源。Bent认为“授权的第三方”应该对此次泄露事件负责。
我们询问了道琼斯的具体问题,例如数据泄漏的来源是谁以及是否会向美国监管机构和欧洲数据保护机构报告,但该公司不会对此记录发表评论。
两年前,道琼斯承认类似的云存储错误配置暴露了220万客户的名称和联系信息,包括《华尔街日报》的订阅者。该公司将此事件描述为一个“错误”。
(稿源:cnBeta,封面源自 *** 。)
据美国国土安全部(DHS)近日透露,加入“Hack DHS”漏洞赏金项目(bug bounty program)的赏金猎人已经在国土安全部的外部系统中发现了122个安全漏洞,其中27个被评估为严重漏洞。 据悉,国土安全部已向450多名经审查的安全研究人员和道德黑客发放了总计125,600美元的奖金...
在俄乌冲突于 2 月下旬爆发后,许多西方国家都颁布了针对俄罗斯的制裁令。然而漏洞赏金平台 HackerOne 的做法,却让不少乌克兰安全研究人员也感到寒心。多位乌克兰黑客与研究人员在 Twitter 上控诉,HackerOne 正在阻止他们提取漏洞赏金,甚至有人被截留了数千美元。 由 Hacker...
近日 Android 设备被爆存在安全漏洞,但根源来自于苹果的无损音频编解码器(ALAC)。目前,美国市场 95% 的 Android 设备来自于高通和联发科,安全公司 Check Point 指出尚未安装 2021 年 12 月 Android Security Patch 的设备都存在“Out-...
Hackernews 编译,转载请注明出处: 在流行的包管理器中已经揭露多个安全漏洞,如果被潜在黑客利用,可能被滥用来运行任意代码和访问敏感信息,包括受感染设备的源代码和访问令牌。 然而,值得注意的是,这些漏洞要求目标开发人员同时处理一个受影响的软件包管理器和一个恶意软件包。 So...
在周一发布的联合公告中,美国网络与基础设施安全局(CISA)、联邦调查局(FBI)和财政部指出 —— 被称作 Lazarus Group 的黑客组织,正在使用被植入木马的加密货币应用程序,向区块链行业的各个组织发起攻击。据说受害者中包括加密货币交易所、风投、持有大量加密货币 / 非同质化代币(NFT...
Hackernews 编译,转载请注明出处: 一名23岁的俄罗斯人在美国被起诉,并被列入美国联邦调查局网络通缉名单,因为他被指控是一家网络犯罪论坛 Marketplace A的管理员,该论坛出售被盗的登录凭证、个人信息和信用卡数据。 伊戈尔 · 德赫蒂亚克(Igor Dekhty...
