黑客从枪支拍卖网站大量窃取了枪支购买者的个人数据

从 TechCrunch 获悉，黑客入侵了一个允许人们买卖枪支的网站，暴露了其用户的身份。

该漏洞暴露了超过 550,000 名用户的敏感个人数据领域，包括客户的全名、家庭住址、电子邮件地址、明文密码和电话号码。 此外，据称被盗数据可以将特定人员与特定武器的销售或购买联系起来。

Troy Hunt，一位网络安全专家，负责运行流行的数据泄露存储库和警报服务。他跟记者说：”有了这些数据，你就可以把一个公开的清单……并把它解析到[被盗数据库中的数据]，这样你就有了[卖家]的姓名、电子邮件、物理地址和电话号码，并且可以推测出枪支的位置”，他经营着流行的数据泄露库和警报服务Have I BeenPwned。(发现该漏洞的研究人员与亨特分享了数据，以便他能将其上传到Have I BeenPwned。）

去年年底，一位要求保持匿名的安全研究人员发现了一个包含数据的服务器，结果证明该服务器被一名黑客（或一群黑客）使用，他们正在使用该服务器存储被盗数据。 服务器没有任何系统保护来限制或控制谁可以访问它，因此研究人员下载了数据并进行了分析。

他发现的是从网站上获取的数据 GunAuction.com网站，一个自 1998 年以来允许人们在线拍卖枪支的网站。

GunAuction.com 截图

TechCrunch 分析了被盗数据的样本，并通过电子邮件联系了 100 人，通过电话联系了 60 人。 其中，有 10 人确认被盗数据库中包含的数据是准确的。 然而，目前尚不清楚数据的最新程度，因为我们的邮件有 25 个电子邮件地址被退回或无法送达，并且有几个电话号码也已断开连接。

GunAuction.com 首席执行官曼尼·德拉克鲁兹 (Manny DelaCruz) 在一封电子邮件中证实了这一违规行为。

德拉克鲁兹在声明中写道：“我可以确认，美国联邦调查局最近就可能影响我们公司的数据泄露事件联系了我们。” “该漏洞可能暴露了个人客户信息，如姓名、地址和电子邮件地址。 但是，我们想向我们的客户保证，我们没有理由相信在违规期间访问了任何财务信息。 我们建议我们的客户保持警惕，并监控他们的财务账户和信用报告，以发现任何可疑活动。”

DelaCruz 补充说，“我们的目的是尽快通知受影响的用户。”

这不是枪支拥有者的敏感数据第一次被曝光。 去年，加利福尼亚州司法部错误地泄露了个人数据，“包括枪支拥有者的姓名、生日、地址、年龄、购买日期和他们持有的枪支许可证类型，以及他们的犯罪识别指数编号，这些编号用于跟踪州和联邦犯罪记录，”

新闻来源：Techcrunch