日本电子制造商卡西欧披露了一起数据泄露事件，黑客获得对 ClassPad 教育平台服务器的访问权限，影响遍布149个国家的客户。

发现公司开发环境中的 ClassPad 数据库失败后，卡西欧在10月11日周三检测到这起泄露事件。相关证据表明，攻击者在一天之后即10月12日访问了客户的个人信息。被暴露的个人数据包括客户姓名、电子邮件地址、居住国、服务使用详情以及购买信息如支付方法、许可证代码以及订单详情等。

卡西欧表示，信用卡信息并未存储在受陷数据库中。

截至10月18日，攻击者访问了日本客户（包括个人和1108个教育机构客户）的91921个条目以及35049条日本以外的148个国家和地区的客户记录。

卡西欧公司表示，“目前已证实，由于该部门负责的系统出现操作错误以及运营管理不足的原因，开发环境中的一些网络安全设置已被禁用。卡西欧认为这是导致外部获得越权访问权限，造成当前情况的原因所在。”

ClassPad 仍在线

尽管“外部实体无法访问”受陷数据库，但 ClassPad.net app 仍处于运营状态。卡西欧澄清表示，黑客除了攻陷开发环境中的数据库外并未攻陷系统。

当地时间周一即10月16日，卡西欧将该事件告知日本个人信息保护委员会，并协助执法机构开展调查。另外，卡西欧与外部网络安全和取证专家展开内部调查，查找事件发生的底层原因并准备好应对措施。

8月初，威胁行动者（被称为“thrax”）声称在 BreachForums 网络犯罪论坛上泄露了120多万条用户记录，并声称是从使用casio.com数据库的一个远程桌面服务 (RDS) 服务器窃取的。被盗信息包括截止到2011年7月的 AWS 密钥以及数据库凭据。

威胁行动者表示，“数据库非常老旧，但不管你信不信，这是今天从一个实时的 RDS 服务器泄露的。如果任何人想要AWS密钥（还有一些品相非常好的权限、S3存储桶访问权限等）以及数据库凭据等，给我发消息。从我这拿到 AWS 密钥的某客户已设法找到另外一个数据库。调查了这个数据库后，我能够应用的最新日期是2006年1月，它是另外一个老旧数据库。”

卡西欧并未就此事置评。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~