Rockerbox数据泄露事件：24.6万用户SSN和驾照信息遭曝光

道德研究员Jeremiah Fowler在一项重大网络安全事件中发现了一个未受保护的数据库，包含245,949条记录，总计286.9 GB。该数据库据信属于德克萨斯州的税务抵免咨询机构Rockerbox。

暴露的存储库缺乏加密和密码保护，存储了大量个人可识别信息（PII），包括全名、物理地址、电子邮件地址、出生日期、社会安全号码（SSN）、驾照、军人退役表格（DD-214s）以及包含就业和薪资详情的工作机会税收抵免文件。

此漏洞突显了云存储配置中的关键缺陷，不一致的访问控制可能促进未经授权的数据外泄。

暴露的技术细节

该数据库可通过标准网页浏览器公开访问，没有身份验证机制，暴露了敏感文件，如未加密的PDF和纯文本记录。

有限抽样显示，有税务抵免资格确定信，以及文件名中嵌入了雇主名称、个人姓名、数字代码和文档标识符等PII元素的密码保护PDF文件。

根据研究，这些命名约定可能通过模糊性引入安全风险，因为文件路径可能通过浏览器缓存、服务器日志或共享URL无意中泄露元数据。

虽然研究员遵守道德准则，未尝试绕过保护或测试假设密码，但此次暴露突显了错误配置的云存储桶中的漏洞，可能由Rockerbox或第三方供应商管理。

事件持续时间未知，需要通过日志分析和入侵检测系统进行法证审计以检测异常访问模式。

更广泛的影响

发现后，Fowler向Rockerbox发出了负责任披露通知，导致数据库在几天后限制公开访问，但未收到回应。

暴露的数据与Rockerbox在酒店、医疗保健和制造等行业的服务相关，构成了假设威胁，包括身份盗窃和金融欺诈。

网络犯罪分子可以利用组合的PII，如SSN与出生日期和就业信息，进行合成身份创建、欺诈性贷款申请或退税诈骗，这与2024年FTC统计报告超过110万起身份盗窃索赔和127亿美元欺诈损失一致。

值得注意的是，密码保护文件的标识符理论上可能启用暴力攻击，如果数字组件用作解锁密钥，但未确认此类利用。

此案例体现了非零信任架构中的风险，不当的ACL（访问控制列表）和未加密存储放大了泄露潜力。

为防止类似暴露，组织应实施强大的安全态势，包括使用AES-256标准的数据静态加密、多因素认证（MFA）和定期渗透测试。

实施零信任模型确保持续验证，而通过SIEM（安全信息和事件管理）工具自动监控访问日志可以标记可疑活动。

对于受影响的个人，主动措施包括信用监控、与Experian等机构的欺诈警报，以及利用FTC资源IdentityTheft.gov。

此披露旨在教育目的，不暗示Rockerbox有任何不当行为或实际数据泄露，强调在处理PII时需要主动的网络安全卫生。

像这样的道德研究促进意识，敦促公司审计云基础设施，避免在文件元数据中嵌入敏感标识符。