专注于数据可泄露的安全研究员Bob Diachenko发现了一个与道琼斯（Dow Jones）风险筛选观察列表相关的重大安全问题，其曝光的数据当时可以被任何人无限制的访问。该数据可涉及到道琼斯的风险与合规产品，其中汇总了各种公众资源，如新闻文章、政府新闻稿，汇编成关于特定人员或金融实体的大数据信息。

道琼斯公司简介

道琼斯公司于1882年由3名记者Charles Henry Dow、Edward Jones和Charles Bergstresser共同创立，是一家美国出版业和金融信息公司。自2007年以来，公司是由新闻集团控股。公司最知名的是出版道琼斯工业平均指数和相关的市场统计数据，道琼斯通讯社和一些金融出版物。

2010年，道琼斯指数子公司被出售给CME集团。公司开始专注金融新闻出版物，包括旗舰出版物《华尔街日报》和提供金融新闻和信息工具的金融公司。道琼斯公司总部位于纽约市美洲大道，公司拥有：《华尔街日报》、《巴伦周刊》、道琼斯通讯社、道琼斯金融信息服务、DJX、Factiva公司、市场观察，Vedomosti等。

曝光数据库信息

道琼斯官方发言人Sophie Bent表示，该数据库是他们从公开来源获得的风险和合规产品的一部分。

Bob Diachenko称曝光的数据库中有超过240万条记录，所有这些记录都存储在道琼斯所使用的Elasticsearch产品中。此Elasticsearch群集的大小为4.4 GB，具体的记录总数为惊人的2，418，862条。

具体的详细信息包括：

全球高级政治人物，相关亲属、亲密伙伴，以及与之相关的公司；

国家和国际政府制裁名单和类别；

与重大犯罪行为有正式联系的，或已被定罪的人员；

道琼斯的档案记录，包括引用联邦机构和执法部门的消息来源。

换句话说，它包含了世界各国政府官员、政治家和有政治影响力的人的信息。这些数据旨在帮助识别风险。举例来说，银行部门可以借助观察列表数据，通过公众人物的关键信息来识别洗钱和非法支付活动。

每一条记录都列出了一个或多个人员名单，如

政治公众人物（PEP）；

特殊利益人（SIP）或特殊利益实体（SIE）。

所有这些细节信息都用于分析财务风险，并识别与这些人/实体相关的非法活动。根据Diachenko的说法，这些信息是“被索引、标记和可搜索”的。

对于个人来说，这些详细信息涉及姓名、出生日期、性别、地址、所在城市、是否已经死亡，在某些情况下还包括照片。

Diachenko在道琼斯的数据库中随机发现的一个名字是Badruddin Haqqani，他是隶属于塔利班的阿富汗哈卡尼游击队叛乱网络的指挥官。2012年，美国财政部对 Haqqani和其他人参与资助恐怖主义行为的人员实施制裁。几个月后，他在巴基斯坦的一次美国无人机袭击中丧生。

Haqqani的数据库记录被列入“制裁名单”和“恐怖主义”。

曝光风险

这一数据库的曝光极有可能带来巨大的风险，原因在于这些敏感数据，例如有犯罪记录或与恐怖组织有联系的人员，如果被“有心人”加以利用，可能导致重大安全事故。

当Diachenko就此违规行为与道琼斯公司联系时，该数据库立即被禁用，该公司发布了一份声明：

“这些数据完全取自公开来源。目前，我们的审查表明，这是由于授权第三方对AWS服务器的配置错误引起的，截至目前该数据库已经不能访问。”