又一批数据在网上发布。这一次,VPNMentor的IT安全研究人员已经确定了北美数百万毫无戒心的用户的个人详细信息。该漏洞是由于没有任何安全身份验证的AmazonWebServices(AWS)S3配置错误造成的。简而言之:任何具有识别公共数据库的简单知识的人都可以访问该数据。据VPNMentor的研究团队称,该数据库属于德克萨斯州奥斯汀公司“KeyRing”,这是一款数字钱包,允许用户上传和存储他们文件的数字副本,包括信用卡、身份证、护照、驾照、礼品卡片等公司超过1400万客户的隐私和安全受到威胁。在博客文章中,VPNMentor透露数字钱包暴露了五个包含高度敏感信息的S3存储桶,包括信用卡数据的副本,包括它们的号码、到期日期和CVV号码。1:信用卡2:NRA会员卡3:政府身份证。(图片来自vpnMentor)此外,个人身份信息(PII)也是泄露数据的一部分,其中包括社会安全号码、政府身份证和健康保险卡、NRA会员卡、礼品卡、会员卡和零售俱乐部会员资格牌。总共泄露的图像数量高达4400万张。然而,事情并没有就此结束,事实上,数据库继续暴露全名、电子邮件地址、出生日期、邮政编码和KeyRing客户的位置。此外,还暴露了IP地址、加密密码和家庭住址。所有这些内容都是纯文本。该公司不向欧洲用户提供服务,因此不会受到GDPR巨额罚款的打击,这反而会对北美客户造成沉重打击。虽然尚不清楚第三方是否出于恶意目的访问数据库,但它会使客户面临现实生活中的勒索和身份盗用诈骗。此外,由于所有信用卡号码均以明文形式提供,黑客还可以清空他们的银行账户并进行税务欺诈。如果恶意黑客发现了这些存储桶,对KeyRing用户(以及公司本身)的影响将是巨大的。事实上,我们无法确定在KeyRing收到通知之前没有其他人找到这些S3存储桶并下载了内容。如果发生这种情况,仅仅删除暴露的数据可能不足以提供足够的保护。VPNMentor的团队警告称,黑客仍然可以访问本地存储的所有数据,离线且完全无法追踪。然而,这并不是配置错误的S3存储桶第一次暴露如此大量的数据。日前,一家云存储提供商以明文形式暴露了数百万客户的数据。在另一起事件中,配置错误的S3存储桶将美国军方社交媒体间谍活动暴露给公众。
