看雪学苑 2025-10-14 18:02 上海
全球 25 万家企业面临安全风险
网络安全研究员杰里米·福勒(Jeremiah Fowler)近期发现,与发票和账单管理平台Invoicely相关联的一个数据库因未设置密码且未加密,导致近18万条包含个人身份信息(PII)和银行账户细节的文件暴露在公开网络中。此次泄露事件已引发全球超25万家企业对身份盗窃与财务欺诈风险的担忧。据杰里米·福勒披露,这个存在安全漏洞的数据库归属或关联于Invoicely平台,因缺乏基础的密码保护和加密措施,任何人都可直接访问其中数据。经统计,数据库内共存储178,519条文件,涵盖全球范围内Invoicely客户、合作伙伴及员工的敏感信息,文件格式以常见的CSV和PDF为主。从泄露内容来看,风险覆盖“企业运营数据”与“个人隐私信息”两大维度:- 企业相关敏感数据:包括各类发票、税务表格、支票扫描件及银行账户详情,这些信息直接关联企业资金流转核心环节;- 个人身份信息(PII):包含用户姓名、实际居住地址、电话号码、税务识别号等可直接用于身份定位的隐私数据;- 其他隐私文件:甚至涉及机票行程单、医疗付款收据等本应严格保密的个人生活类凭证。目前,杰里米·福勒已通过“负责任披露”流程(即先通知涉事企业修复漏洞,再公开事件详情)将问题告知Invoicely,该数据库已被迅速下线以防止进一步泄露。但截至目前,仍有三个关键问题未得到明确回应:1. 该数据库究竟由Invoicely直接管理,还是由第三方承包商负责运维?2. 这些敏感信息在公开网络中可被访问的时长究竟有多久?3. 在数据库下线前,是否已有未授权人员获取或下载过数据?针对上述不确定性,网络安全专家建议Invoicely用户(尤其是企业用户)立即采取两项防护措施:一是为所有账户启用多因素认证(如短信验证码、动态令牌等二次验证方式),二是避免在多个平台复用相同密码,降低“一密泄露、多账户失守”的风险。资讯来源:hackread.com转载请注明出处和本文链接﹀公开信息显示,Invoicely总部位于奥地利维也纳,隶属于Stack Holdings GmbH公司,是一款主打“轻量化企业财务管理”的云基平台。其核心功能包括帮助用户创建预算估算、自动化管理账单、发送付款提醒,以及追踪员工工时、车辆行驶里程等运营数据。截至事件曝光前,该平台已覆盖全球超25万家企业,用户群体涉及中小微企业、创业团队及自由职业者等。
﹀
﹀
