物流企業(yè) DW Morgan 暴露 100GB 客戶(hù)數(shù)據(jù),波及多家財(cái)富 500 強(qiáng)公司
據(jù)外媒報(bào)道,網(wǎng)絡(luò)服務(wù)評(píng)測(cè)機(jī)構(gòu) Website Planet 安全團(tuán)隊(duì)日前發(fā)現(xiàn)了一個(gè)配置錯(cuò)誤的 Amazon S3 存儲(chǔ)桶,該存儲(chǔ)桶屬于供應(yīng)鏈管理和物流企業(yè) DW Morgan ,該公司總部位于加利福尼亞州普萊森頓,業(yè)務(wù)遍及全球。據(jù)研究人員稱(chēng),該存儲(chǔ)桶包含價(jià)值超過(guò) 100 GB 的數(shù)據(jù)和 250 萬(wàn)個(gè)文件,詳細(xì)說(shuō)明了屬于 DW Morgan 全球員工和客戶(hù)的財(cái)務(wù)、運(yùn)輸、運(yùn)輸、個(gè)人和敏感記錄,波及多家財(cái)富 500 強(qiáng)公司。
圖1 DW Morgan 公開(kāi)暴露的數(shù)據(jù)類(lèi)型示例
盡管該存儲(chǔ)桶于 2021 年 11月 12 日就被發(fā)現(xiàn),但其詳細(xì)信息直到近期才被 Website Planet 披露。更糟糕的是,該存儲(chǔ)桶在沒(méi)有任何安全身份驗(yàn)證或密碼的情況下向公眾公開(kāi)暴露,這意味著任何了解 AWS 存儲(chǔ)桶功能的人都可以訪問(wèn)數(shù)據(jù)。該存儲(chǔ)桶錯(cuò)誤配置期間暴露的數(shù)據(jù)類(lèi)型完整列表包括簽名、全名、附件、電話號(hào)碼、訂購(gòu)的商品、貨物損壞、處理照片、工藝細(xì)節(jié)、賬單地址、發(fā)票日期、運(yùn)輸條碼、未知文件、送貨地址、設(shè)施位置、出貨照片、為商品支付的價(jià)格、包裝標(biāo)簽照片、現(xiàn)場(chǎng)文件圖片、運(yùn)輸計(jì)劃和協(xié)議(見(jiàn)圖1示例)。
好消息是,目前尚不清楚該存儲(chǔ)桶在暴露期間是否被惡意威脅行為者訪問(wèn)過(guò)。如果是 DW Morgan 的員工或客戶(hù)之一,應(yīng)該警惕網(wǎng)絡(luò)釣魚(yú)詐騙、垃圾郵件攻擊或藏有惡意軟件的惡意電子郵件會(huì)突然增加。
【本文是51CTO專(zhuān)欄作者“安全牛”的原創(chuàng)文章,轉(zhuǎn)載請(qǐng)通過(guò)安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】
