據外媒報道，在一臺服務器出現錯誤后，超過2400萬份金融和銀行文件在網上被發現。這些文件顯示了美國一些最大銀行的數萬筆貸款和抵押貸款信息。

　　這臺運行ElasticSearch數據庫的服務器擁有超過十年的數據，其中包括貸款和抵押貸款協議、還款時間表以及其他高度敏感的金融和稅務文件。這些文件透露了個人財務生活的具體信息。

　　但是它沒有密碼保護，任何人都可以訪問和讀取其中大量的信息。

　　據信，該數據庫只暴露了兩周，但這個時間已足夠讓獨立安全研究員鮑勃-迪亞琴科(Bob Diachenko)查看到了這些文件。乍一看，你無法立即知道誰擁有這些數據。在我們詢問了幾家銀行后，該數據庫于1月15日關閉。

　　這次泄密可以追溯到為金融行業服務的數據和分析公司Ascension。該公司的總部設在得克薩斯州的沃思堡。該公司提供數據分析和投資組合估值。在它的服務中，Ascension將紙質文件和手寫筆記轉換成計算機可讀的文件——被稱為OCR文件。

　　迪亞琴科在自己的書面報告中說，被曝光的文件正是那家銀行的被轉換后的OCR文件。

　　Ascension的母公司Roc.hk Partners擁有總價值44億美元的4.6萬多筆貸款。該公司總法律顧問桑迪-坎貝爾(SandyCampbell)證實了這起安全入侵事件，但表示該公司的系統沒有受到影響。

　　他在一份聲明中說：“1月15日，該供應商得知一臺服務器出現配置錯誤，可能導致了一些抵押貸款文件曝光。因此，它立即關閉了有問題的服務器。我們正在與第三方取證專家合作調查這一情況。隨著調查的進行，我們還與執法調查人員和技術合作伙伴保持定期聯系。”

　　該聲明還補充說，未指明的部分貸款信息已被分享給合同商進行分析，但無法立即證實有多少貸款文件被泄露。

　　該供應商是總部設在紐約的OpticsML公司。記者聯系該公司的努力沒有成功。其網站處于離線狀態，其電話號碼也打不通。

　　坎貝爾在電話中確認，該公司將通知所有受影響的客戶，并根據數據泄露通知法向州監管機構報告這一事件。

　　涉及數家主要金融和貸款機構

　　從我們的審查中可以清楚地看出，這些文件涉及幾家主要金融和貸款機構的貸款和抵押貸款信息以及其他往來信函。這些文件可以追溯到2008年，如果不是更久的話。其中包括花旗金融、匯豐人壽、富國銀行、CapitalOne和一些美國聯邦政府部門(包括住房和城市發展部)的文件。花旗金融是花旗集團旗下一個現已倒閉的貸款金融部門。

　　其中一些公司在將其抵押貸款部門和資產出售給其他公司后，早已停業。

　　雖然不是所有的文件都包含高度敏感的個人數據，但我們發現：姓名、地址、出生日期、社會保障號碼、銀行賬號和支票賬號，以及包含敏感財務信息的貸款協議信息，例如個人申請貸款的原因。

　　一些文件還指出了某些個人是否申請了破產和稅務文件，包括年度W-2稅表。這些信息很容易被騙子用來要求虛假退款。

　　但迪亞琴科說，該數據庫以隨機順序存儲文檔，不容易以易于閱讀的方式呈現，因此很難從一份文檔跟蹤到另一份文檔。

　　我們利用公共記錄檔案數據庫中的信息來驗證這些文件數據的真實性。

　　“網絡犯罪分子的金礦”

　　迪亞琴科說：“這些文件包含高度敏感的數據，如社會保障號碼、姓名、電話、地址、信用記錄和其他細節，這些信息通常是抵押貸款或信用報告的一部分。這些信息將成為網絡犯罪分子的金礦。他們將擁有竊取身份、提交虛假納稅申報表、獲得貸款或信用卡所需的一切有用信息。”

　　盡管這些文件來自這些金融機構，但幫助確保數據安全的花旗銀行表示，它目前與該公司沒有關系。

　　花旗的一位發言人表示：“花旗最近意識到，一個與花旗沒有聯系的第三方公司在一個不安全的在線環境中存儲了某些抵押貸款原始文件和修改文件。這些文件包含有關花旗現任或前任客戶以及其他金融機構客戶的信息。花旗通知了執法部門，啟動了徹底的調查，并迅速采取行動，以確保這些信息不再被公開獲取。”

　　花旗證實，“我們沒有發現任何證據表明花旗的系統受到了安全入侵。”

　　該銀行補充說，它正在努力識別潛在的受影響客戶。

　　其他數十家公司也受到影響，包括規模較小的地區銀行和大型跨國公司。

　　富國銀行的一位發言人表示，這些數據是Ascension從那些購買富國銀行抵押貸款的實體組織那里獲得的。

　　匯豐表示，它正在調查是否有任何客戶的數據，包括過去的客戶，并證實“自2010年以來，它與Ascension沒有供應商關系”。

　　當記者聯系到CapitalOne時，該公司并未對此發表評論。

　　住房和城市發展的發言人沒有回應記者的置評請求。該部門目前受到政府持續歇業的影響。

　　這是涉及ElasticSearch數據庫的一系列安全漏洞中的最新一例。

　　去年，人們發現了一個泄露數百萬實時短信數據的龐大數據庫，并立即對它采取了必要的安全措施。而且，還有一家頗受歡迎的按摩服務機構也出現了大規模信息泄密。最近AIESEC國際青年組織也泄露了400多萬條青少年申請者的個人信息。(騰訊科技審校/樂學)