Hackread网站11月20日引用VPNmonitor的报告,称为美国和英国军人提供约会服务的社交网络Forces Penpals发生数据泄露事件,暴露了超过110万注册用户的个人信息。网络安全研究员Jeremiah Fowler发现该问题,并指出泄露数据包括个人身份信息(PII)、社会安全号码(SSN)、国民保险号码(类似于英国的SSN)以及敏感图像等。此外,服务器还包含服役证明、军衔、个人所属部队等敏感文件。Forces Penpals已承认数据泄露是由于编码错误导致文件误传和目录列表公开,但目前尚不清楚是否有恶意行为者访问了这些信息。该公司尚未透露信息被曝光的持续时间,也未报告任何可疑活动的迹象。此次事件提醒类似服务机构必须重视数据安全,保护用户隐私免受网络威胁。![]()
网络安全研究员Jeremiah Fowler发现并向vpnMentor报告了一个没有密码保护的数据库,其中包含超过110万条属于Conduitor Limited(以 Forces Penpals 的名义交易)的记录,该公司为军人及其支持者提供约会服务和社交网络服务。
![]()
公开的数据库没有密码保护或加密。它总共包含1,187,296份文件。在有限的样本中,Fowler看到的大多数文件都是用户图像,而其他文件则是可能敏感的服务证明文件的照片。这些文件包含全名(名字、姓氏和中间名)、邮寄地址、SSN(美国)、国民保险号码和服务号码(英国)。这些文件还列出了军衔、服务部门、日期、地点和其他不应公开的信息。
经过进一步研究,Fowler发现这些记录属于Forces Penpals,这是一个为军人及其支持者提供约会服务和社交网络的社区。Fowler立即发送了一份负责任的披露通知,第二天公众访问就被限制了。目前尚不清楚该数据库暴露了多长时间,也不知道是否有其他人获得了访问权限。只有内部取证审计才能识别其他访问权限或潜在的可疑活动。在Fowler发出披露通知后,他收到了Forces Penpals的回复,其中说:“感谢您联系我们。非常感谢。看起来是编码错误,文档被发送到了错误的存储桶,目录列表已打开以进行调试,但从未关闭。这些照片无论如何都是公开的,所以这不是问题,但这些文件肯定不应该公开”。目前尚不清楚该数据库是Forces Penpals直接拥有和管理的,还是通过第三方承包商拥有和管理的。
据其网站介绍,该服务为美国和英国武装部队成员提供社交网络和支持。它声称拥有超过290,000名军事和平民用户。Forces Penpals成立于2002年,允许英国公民给在伊拉克或阿富汗服役的士兵写信。在2018年的一次采访中,Forces Penpals的负责人表示:“一开始,它专门用于笔友,带一点约会元素。它最初是一种为武装部队提供的支持服务,旨在鼓舞士气,也是我们让平民与军事社区接触的一种方式。”目前尚不清楚曝光的文件是来自网站和论坛,还是来自Forces Penpals约会应用程序,该应用程序适用于 iOS和Android设备。
张拼贴画展示了orces Penpals 用户图像在数据库中的出现方式。
许多人选择在网上保持私密,在使用应用程序或社交媒体时不会分享自己的形象或肖像。暴露用户图像和服务证明文件可能会带来重大的安全和隐私风险。假设这些文件包含足够的个人信息,可能会造成潜在的身份盗窃风险,让恶意行为者冒充个人进行欺诈活动或可能的金融犯罪。犯罪分子掌握的潜在目标信息越多,网络钓鱼攻击和社会工程计划的成功率就越高,这些计划可能会欺骗人们泄露更多机密数据。 对于现役军人或拥有安全许可的军人,暴露他们的军衔、位置或其他有关其服役的详细信息可能会对国家安全产生潜在影响。2024年10月,微软和美国当局报告称,一个与俄罗斯情报部门有关的黑客组织试图渗透众多西方智库、记者以及前军事和情报人员的系统。Fowler称这并不是说Forces Penpals的用户曾经面临身份盗窃、网络钓鱼、社会工程或其他潜在犯罪活动的风险。他只是出于教育目的提供了一个现实世界的威胁场景。Fowler建议提供约会应用程序或社交网络服务的公司采取额外措施来保护他们收集和存储的数据。其中包括:1、对存储敏感信息的任何云存储数据库实施增强的访问控制和身份验证要求。2、将敏感文件分段存放在单独的位置,这样就不会将所有文件都存放在一个地方。这可以最大限度地降低数据泄露的潜在风险,并限制未经授权访问组织必须保护的最敏感信息。 3、定期进行安全审计和渗透测试有助于识别开放端口、错误配置的防火墙设置或其他可能导致数据泄露的漏洞。 4、制定事件响应计划也很重要。没有哪个组织会故意在网上泄露潜在的敏感用户数据,但制定计划是一种主动的方式,可以在发生数据泄露时减轻损害并通知受影响的用户和利益相关者。 5、为数据事件建立直接沟通渠道有助于确保负责任的披露通知快速传达给正确的人员或团队。当涉及到暴露数据时,时间是一个关键因素。Fowler不认为Conduitor Limited以Forces Penpals的名义运营有任何不当行为,他也不认为内部数据或用户数据曾面临迫在眉睫的风险。Fowler在本报告中提出的假设数据风险情景仅用于教育目的,并不反映数据完整性的任何实际损害。作为一名有道德的安全研究人员,他自称不会下载他发现的数据。只会截取有限数量的屏幕截图,仅用于验证目的。目前尚不清楚该数据库公开访问的时间,因为只有Forces Penpals或管理数据库的组织进行的内部取证调查才能识别此信息以及与违规相关的任何潜在可疑活动。除了识别安全漏洞和通知相关方之外,Fowler称不开展任何其他活动。他称对因此次披露而可能采取的行动不承担任何责任。Fowler发布其研究结果是为了提高人们对数据安全和隐私问题的认识。目标是鼓励组织主动保护敏感信息免遭未经授权的访问。参考资源
1、https://hackread.com/us-uk-military-forces-penpals-exposes-ssn-pii-data/2、https://www.vpnmentor.com/news/report-forcespenpals-breach/
