DGT的巨大漏洞:3,400萬名司機的所有資料都被出售
Posted: Tue Dec 03, 2024 6:53 am
新的大規模資料外洩。這次它並沒有像過去兩週那樣影響一家 Ibex 公司,但它確實影響了最近資訊外洩問題最嚴重的組織之一——交通總局 (DGT)。網路犯罪分子已將超過 3,400 萬名駕駛員及其車輛的數據出售。洩漏的資訊包括從汽車牌照到車主的全名、身分證件和地址,再到當前的保險資訊等所有資訊。不僅如此。它還提供了隨意查詢特定人員資訊的可能性,就好像它是一個搜尋引擎一樣,而不用購買整個資料庫。
«我們可以查閱任何駕駛執照 法屬圭亞那 電子郵件清單 100000 聯絡人資訊 或文件。 “我們還出售包含 3450 萬行的整個資料庫。”如下圖所示,網路犯罪分子獲得了以下記錄:車牌、車輛類型、品牌和型號、車主的姓名、地址和人口以及當前的保險數據。這些數據於 5 月 13 日在一個專門買賣網路攻擊中竊取的資訊的論壇上出售。它們的要價尚不清楚,但諮詢過的專家保證它們可以賣到數百萬歐元。
«如果您擁有 DNI、註冊號碼和地址,您就可以利用它們來製造許多騙局,尤其是與身分詐欺相關的騙局。你只需要電話號碼和電子郵件就可以擁有完整的設備並做你想做的事,」一位接受諮詢的網路安全專家說。存取這些電子郵件和手機號碼就像獲取包含這些資訊的多個資料庫之一一樣簡單,這些資料庫也可供出售並交叉這兩個文件。
本報已聯繫DGT,但截至發稿時尚未收到回覆。調查事件的消息人士指出,鑑於數據的發布日期,這些數據很可能來自最近對 DGT 的一次新的網路攻擊。這些消息來源也指出,一切都顯示國家行為者對網路攻擊負有責任,就像最近對桑坦德銀行、伊比德羅拉銀行和西班牙電信公司的攻擊一樣。
原則上排除了這次新的洩密與去年 3 月逮捕一名來自穆爾西亞的 23 歲年輕人有關,該男子從 DGT 竊取了 4000 萬張車牌,其中包括使用他母親的 DNI 來驗證自己在系統中。國家警察於 1 月 19 日逮捕了他,這次行動由總資訊專員辦公室協調,穆爾西亞資訊旅和隸屬 CNI 的國家密碼中心 (CCN-CERT) 合作。該網路犯罪分子的目標是將資料庫出售;據調查消息稱,他尚未這樣做。
目前尚不清楚現在出售的資訊是否是先前被盜資料庫的副本,但諮詢的網路安全專家指出,真正的漏洞位於 DGT。 “它有數百萬扇門敞開,這是一個大問題。”如果我們將現有的漏洞加上西班牙網路犯罪分子的增加,他們試圖潛入系統竊取資訊并快速出售訊息,那麼大規模洩密的問題才剛剛開始。
«我們可以查閱任何駕駛執照 法屬圭亞那 電子郵件清單 100000 聯絡人資訊 或文件。 “我們還出售包含 3450 萬行的整個資料庫。”如下圖所示,網路犯罪分子獲得了以下記錄:車牌、車輛類型、品牌和型號、車主的姓名、地址和人口以及當前的保險數據。這些數據於 5 月 13 日在一個專門買賣網路攻擊中竊取的資訊的論壇上出售。它們的要價尚不清楚,但諮詢過的專家保證它們可以賣到數百萬歐元。
«如果您擁有 DNI、註冊號碼和地址,您就可以利用它們來製造許多騙局,尤其是與身分詐欺相關的騙局。你只需要電話號碼和電子郵件就可以擁有完整的設備並做你想做的事,」一位接受諮詢的網路安全專家說。存取這些電子郵件和手機號碼就像獲取包含這些資訊的多個資料庫之一一樣簡單,這些資料庫也可供出售並交叉這兩個文件。
本報已聯繫DGT,但截至發稿時尚未收到回覆。調查事件的消息人士指出,鑑於數據的發布日期,這些數據很可能來自最近對 DGT 的一次新的網路攻擊。這些消息來源也指出,一切都顯示國家行為者對網路攻擊負有責任,就像最近對桑坦德銀行、伊比德羅拉銀行和西班牙電信公司的攻擊一樣。
原則上排除了這次新的洩密與去年 3 月逮捕一名來自穆爾西亞的 23 歲年輕人有關,該男子從 DGT 竊取了 4000 萬張車牌,其中包括使用他母親的 DNI 來驗證自己在系統中。國家警察於 1 月 19 日逮捕了他,這次行動由總資訊專員辦公室協調,穆爾西亞資訊旅和隸屬 CNI 的國家密碼中心 (CCN-CERT) 合作。該網路犯罪分子的目標是將資料庫出售;據調查消息稱,他尚未這樣做。
目前尚不清楚現在出售的資訊是否是先前被盜資料庫的副本,但諮詢的網路安全專家指出,真正的漏洞位於 DGT。 “它有數百萬扇門敞開,這是一個大問題。”如果我們將現有的漏洞加上西班牙網路犯罪分子的增加,他們試圖潛入系統竊取資訊并快速出售訊息,那麼大規模洩密的問題才剛剛開始。