Hack Read網(wǎng)站披露，Website Planet安全團(tuán)隊(duì)發(fā)現(xiàn)了一個(gè)配置錯(cuò)誤的亞馬遜S3“存儲(chǔ)池”，池中包含約250萬個(gè)文件，大小超過100GB。研究表明，該數(shù)據(jù)池屬于應(yīng)鏈管理和物流巨頭D.W.Morgan公司，該公司總部位于加利福尼亞州，業(yè)務(wù)遍及全球。

[[442749]]

安全研究人員稱，數(shù)據(jù)庫(kù)中詳細(xì)記錄了D.W. Morgan企業(yè)員工和其全球客戶的財(cái)務(wù)、運(yùn)輸、個(gè)人和敏感數(shù)據(jù)信息，其中更是有500強(qiáng)愛立信和財(cái)富500強(qiáng)思科。

值得一提的是，該數(shù)據(jù)庫(kù)最早于2021年11月12日已經(jīng)被發(fā)現(xiàn)，但細(xì)節(jié)表明，上周才被Website Planet 披露。

暴露的數(shù)據(jù)詳情

糟糕的是，該存儲(chǔ)池沒有任何安全身份驗(yàn)證或密碼的情況下仍然向公眾公開，意味著任何了解 AWS 存儲(chǔ)桶功能的人都可以輕松訪問數(shù)據(jù)。

暴露的數(shù)據(jù)類型如下所示：

• 簽名;
• 全名 ;
• 附件;
• 電話號(hào)碼;
• 訂購(gòu)的貨物 ;
• 貨物損壞;
• 流程照片;
• 流程細(xì)節(jié);
• 賬單地址;
• 發(fā)票的日期;
• 船運(yùn)條碼;
• 未知文件;
• 交付地址;
• 設(shè)施位置;
• 貨物的照片;
• 為貨物支付的價(jià)格;
• 包裝標(biāo)簽的照片;
• 現(xiàn)場(chǎng)文件的圖片;
• 運(yùn)輸計(jì)劃和協(xié)議。

暴露數(shù)據(jù)示例截圖

下面屏幕截圖是公開的數(shù)據(jù)類型示例之一。 第一個(gè)屏幕截圖顯示了公司的各個(gè)位置，而第二個(gè)屏幕截圖顯示了 Cisco 給 DW Morgan 的 350,000 美元發(fā)票。

“喜憂參半”

值得注意的是，在Website Planet發(fā)出數(shù)據(jù)泄露警報(bào)后四天后，DW Morgan公司對(duì)數(shù)據(jù)庫(kù)采取了安全保護(hù)措施。但是，尚不清楚數(shù)據(jù)庫(kù)暴露期間是否被惡意威脅行為者訪問過。

盡管如此，安全專家建議，D.W. Morgan員工或客戶應(yīng)該提高警惕，預(yù)防網(wǎng)絡(luò)釣魚詐騙、垃圾郵件攻擊或裝載有惡意軟件的惡意郵件等方式的網(wǎng)絡(luò)攻擊。

最后，Website Planet安全團(tuán)隊(duì)在其博客文章中強(qiáng)調(diào)：企業(yè)應(yīng)加強(qiáng)員工對(duì)網(wǎng)絡(luò)釣魚、惡意軟件、詐騙和其他形式網(wǎng)絡(luò)犯罪威脅的了解。

參考文章：https://www.hackread.com/logistics-giant-d-w-morgan-exposed-clients-data/