FormGet安全失效暴露了數(shù)千個(gè)敏感的用戶上傳文件

FormGet自稱是一家位于印度博帕爾的在線表格制作商和電子郵件營(yíng)銷(xiāo)公司。該公司允許其43,000名客戶創(chuàng)建在線表格，以便其他人可以提交簡(jiǎn)歷或申請(qǐng)工作，或提供地址或工作證明，在線購(gòu)買(mǎi)商品等。我們?cè)趺粗?因?yàn)樵摴緦⑵渲幸粋€(gè)云存儲(chǔ)服務(wù)器保持在線并且沒(méi)有密碼而暴露在外。一位匿名安全研究人員發(fā)現(xiàn)了FormGet公開(kāi)的Amazon S3存儲(chǔ)桶，并告知TechCrunch希望獲得數(shù)據(jù)安全。FormGet在我們于周三聯(lián)系該公司后一夜之間將該桶拉下線。但該公司的創(chuàng)始人兼首席執(zhí)行官Neeraj Agarwal沒(méi)有回復(fù)幾封要求置評(píng)的電子郵件和后續(xù)行動(dòng)。

存儲(chǔ)桶中包含數(shù)十萬(wàn)個(gè)文件和文檔。存儲(chǔ)桶每年都有一個(gè)文件夾，其歷史可以追溯到2013年，每個(gè)月都包含子文件夾，其中包含用戶上傳的文檔。

我們審核的部分文件包含高度敏感的信息，包括：

掃描幾本護(hù)照 - 包括美國(guó)護(hù)照 - 和其他掃描文件，如支票，社會(huì)安全號(hào)碼，駕駛執(zhí)照，國(guó)民身份證等;

退伍軍人事務(wù)部的信件，證明前服務(wù)連接殘疾補(bǔ)償?shù)耐宋檐娙耍ㄖЦ兜慕痤~;

獲得的貸款和抵押的詳情，包括金額，利率和歷史，以及銀行賬戶報(bào)表，燃?xì)赓~單，現(xiàn)役表格的軍事排放和其他類(lèi)似的居住證明;

文件1

在公開(kāi)的服務(wù)器上找到的幾個(gè)居住證明文件，包括銀行和貸款聲明(圖片：TechCrunch)

一些內(nèi)部公司文件，包括標(biāo)有“機(jī)密”和“僅供內(nèi)部使用”的幾家銀行和金融機(jī)構(gòu)的網(wǎng)絡(luò)安全評(píng)估摘要;

UPS運(yùn)輸標(biāo)簽，包括姓名和電話號(hào)碼以及運(yùn)輸內(nèi)容;

護(hù)照

FormGet公開(kāi)的許多文件的兩本護(hù)照(圖片：TechCrunch)

簡(jiǎn)歷，包括姓名，郵政和電子郵件地址，電話號(hào)碼，教育背景和工作經(jīng)歷;

來(lái)自Google，Zoom甚至FormGet本身的發(fā)票，用于結(jié)算服務(wù) - 在某些情況下包括姓名，地址和部分信用卡號(hào)碼;

和幾個(gè)航空公司和酒店預(yù)訂收據(jù)。

這些類(lèi)型的數(shù)據(jù)暴露 - 私人數(shù)據(jù)被錯(cuò)誤公開(kāi) - 多年來(lái)已經(jīng)成為一個(gè)常見(jiàn)的安全問(wèn)題。有幾種無(wú)意的數(shù)據(jù)泄露事件將存儲(chǔ)服務(wù)器權(quán)限更改為公共。今年早些時(shí)候，數(shù)以百萬(wàn)計(jì)的抵押文件被曝光。在類(lèi)似的數(shù)據(jù)泄漏中，刮掉的Facebook數(shù)據(jù)也被搶購(gòu)一空。去年，由于配置錯(cuò)誤，整個(gè)華盛頓州的互聯(lián)網(wǎng)提供商都將其“關(guān)鍵王國(guó)”暴露出來(lái)。

雖然公司經(jīng)常將人為錯(cuò)誤暴露出來(lái)，但事實(shí)上，無(wú)意中將私有云數(shù)據(jù)公之于眾。

一位高級(jí)云安全工程師在TechCrunch的背景下發(fā)言說(shuō)，主要的云服務(wù)在默認(rèn)情況下努力保持?jǐn)?shù)據(jù)安全。

“就亞馬遜而言，S3存儲(chǔ)桶的默認(rèn)設(shè)置是私有的 - 不允許直接未經(jīng)授權(quán)的互聯(lián)網(wǎng)訪問(wèn)，”工程師說(shuō)。亞馬遜還提供免費(fèi)工具，用于掃描用戶的云基礎(chǔ)架構(gòu)以查找錯(cuò)誤配置。

“當(dāng)大量泄密的消息中有這些報(bào)道時(shí)，將責(zé)任歸咎于云提供商變得越來(lái)越困難，”工程師說(shuō)。“在過(guò)去幾年的任何安裝中，開(kāi)發(fā)人員都不得不竭盡全力揭露這些記錄。”

“一旦一個(gè)組織以這種非常疏忽的方式泄露數(shù)據(jù)，他們幾乎沒(méi)有責(zé)備自己，”工程師說(shuō)。