美國物流公司100G數(shù)據(jù)泄露,涉財富500強公司
美國物流公司100G數(shù)據(jù)泄露,涉財富500強公司。
Website Planet安全研究人員發(fā)現(xiàn)一家位于美國的跨國供應(yīng)鏈管理和物流公司D.W. Morgan發(fā)生數(shù)據(jù)泄露事件。D.W. Morgan公司所有的一個Amazon S3 bucket被發(fā)現(xiàn)沒有授權(quán)控制機制,暴露了與運輸和公司客戶相關(guān)的敏感數(shù)據(jù)。泄露的數(shù)據(jù)總量超過100GB,涉及250萬個文件。這些泄露的數(shù)據(jù)所涉及的企業(yè)遍布全球,其中不乏財富500強企業(yè)。
研究人員在該bucket中發(fā)現(xiàn)里個不同的數(shù)據(jù)集,每個數(shù)據(jù)集都保存在對應(yīng)的文件夾中。其中3個數(shù)據(jù)集包含敏感的客戶數(shù)據(jù)和雇員個人身份信息:
運輸計劃和協(xié)議;
過程照片;
附件。
Cisco的發(fā)貨程序
Life technology的發(fā)貨程序
其中2個數(shù)據(jù)集暴露了個人身份信息和敏感數(shù)據(jù),但沒有具體到個人:
簽名;
未知文件。
運輸計劃和協(xié)議中列出了泄露的客戶的運輸計劃的每一步。相關(guān)信息中包含司機、倉庫職員和安保人員的信息。其中有150個文件暴露了敏感的客戶數(shù)據(jù)和雇員個人身份信息:
過程詳情,包括貨物上船、運輸和安全的具體過程;
客戶設(shè)施的位置;
客戶、第三方和D.W. Morgan雇員的全名;
客戶、第三方和D.W. Morgan雇員的手機號碼和辦公電話;
客戶、第三方和D.W. Morgan雇員的郵箱地址;
運輸過程的過程照片。這些照片是雇員拍攝以與D.W. Morgan的標(biāo)準(zhǔn)操作流程一致。Bucket中有超過80萬個文件,其中40萬個文件是唯一的。這些文件中暴露了敏感的客戶數(shù)據(jù),包括:
現(xiàn)場文件的圖像;
貨物損毀的情況;
出貨照片;
包裝標(biāo)簽照片。
附件中包含發(fā)票、運輸標(biāo)簽和裝箱單。這些文件中包含D.W. Morgan客戶和第三方員工的信息。D.W. Morgan bucket中邪路的敏感客戶數(shù)據(jù)和雇員個人身份信息包括:
訂購的商品
商品的訂購價格
運輸?shù)刂?/p>
賬單地址
發(fā)票日期
第三方雇員全名
第三方雇員手機號碼
第三方雇員郵箱地址
還有2個數(shù)據(jù)集中的文件目前還沒有確定是屬于誰。
Bucket中還有簽名。雖然沒有關(guān)于簽名的其他信息,但推測這些簽名與貨物取件/卸貨有關(guān)。其中泄露了 DW Morgan 的員工或其客戶。研究人員在bucket中發(fā)現(xiàn)了超過 150 萬個此類文件,暴露的簽名有:
簽名(書面,未掃描)
全名,可在某些簽名中識別
DW Morgan 的Amazon S3 bucket仍處于活動狀態(tài)并正在更新。研究人員在bucket中發(fā)現(xiàn)了 2013 年至 2021 年末的文件。
亞馬遜不負(fù)責(zé) DW Morgan bucket的管理,因此,對此次數(shù)據(jù)泄露沒有責(zé)任。
本文翻譯自:https://www.websiteplanet.com/blog/dwmorgan-leak-report/如若轉(zhuǎn)載,請注明原文地址。
