泰国-一个含有逾1亿笔旅客个资的数据库于网上曝光

一个包含旅泰人士个资的数据库未做好防范，使超过1.06亿笔资料，包括十年内造访该国人士的姓名、护照号码等被公开于网络上。不过泰国-表示数据库尚未遭到不法存取。

安全厂商Comparitech安全研究中心主管Bob Diachenko于8月底，发现了一个包含200GB的ElasticSearch数据库，分析后研判隶于泰国某-机关。

该数据库内最重要的是一个包含超过1.06亿笔资料，显然是集结访泰旅客的个资。其中每一笔资料都包含旅客全名、性别、护照号码、签证类别、入境日期及入境卡号等。根据研判，这些资料可能包含近十年内造访泰国的所有外国观光客或商务人士的资料。Diachenko甚至在其中发现自己的个资。所幸公开的数据库未包含银行账户或联络资讯。

研究人员立即通知泰国-，后者很快回应并加入防护。这个数据库已被移往别处，原有IP端点则被连结诱捕系统，以搜捕动作太慢的不法人士。

这个数据库在8月20日由搜索引擎Censys索引过，2天后才被研究人员发现。至于被索引前这个数据库挂在网络上多久则不得而知。研究人员指出，该公司的诱捕系统实验证实，攻击者可以在几小时内找到并存取这个数据库。

泰国当局声称这些资料并未遭到任何未授权存取。

这是最新一起的国家级数据库安全事件。近日先后有印尼百万民众疫苗接种资料、美国-搜集约190万名全球恐怖份子的观察名单。2019年厄瓜多尔市调公司云端数据库外泄事件泄露了近700万儿童个资、包括维基解密创办人Julian Assange及厄瓜多尔总统的个资，总数超过该国人口数。