您的位置: 首頁 >股票 >

FormGet安全失效暴露了數(shù)千個敏感的用戶上傳文件

2019-07-26 10:52:22 編輯: 來源:
導(dǎo)讀 FormGet自稱是一家位于印度博帕爾的在線表格制作商和電子郵件營銷公司。該公司允許其43,000名客戶創(chuàng)建在線表格,以便其他人可以提交簡歷或

FormGet自稱是一家位于印度博帕爾的在線表格制作商和電子郵件營銷公司。該公司允許其43,000名客戶創(chuàng)建在線表格,以便其他人可以提交簡歷或申請工作,或提供地址或工作證明,在線購買商品等。我們怎么知道?因?yàn)樵摴緦⑵渲幸粋€云存儲服務(wù)器保持在線并且沒有密碼而暴露在外。一位匿名安全研究人員發(fā)現(xiàn)了FormGet公開的Amazon S3存儲桶,并告知TechCrunch希望獲得數(shù)據(jù)安全。FormGet在我們于周三聯(lián)系該公司后一夜之間將該桶拉下線。但該公司的創(chuàng)始人兼首席執(zhí)行官Neeraj Agarwal沒有回復(fù)幾封要求置評的電子郵件和后續(xù)行動。

存儲桶中包含數(shù)十萬個文件和文檔。存儲桶每年都有一個文件夾,其歷史可以追溯到2013年,每個月都包含子文件夾,其中包含用戶上傳的文檔。

我們審核的部分文件包含高度敏感的信息,包括:

掃描幾本護(hù)照 - 包括美國護(hù)照 - 和其他掃描文件,如支票,社會安全號碼,駕駛執(zhí)照,國民身份證等;

退伍軍人事務(wù)部的信件,證明前服務(wù)連接殘疾補(bǔ)償?shù)耐宋檐娙耍ㄖЦ兜慕痤~;

獲得的貸款和抵押的詳情,包括金額,利率和歷史,以及銀行賬戶報表,燃?xì)赓~單,現(xiàn)役表格的軍事排放和其他類似的居住證明;

文件1

在公開的服務(wù)器上找到的幾個居住證明文件,包括銀行和貸款聲明(圖片:TechCrunch)

一些內(nèi)部公司文件,包括標(biāo)有“機(jī)密”和“僅供內(nèi)部使用”的幾家銀行和金融機(jī)構(gòu)的網(wǎng)絡(luò)安全評估摘要;

UPS運(yùn)輸標(biāo)簽,包括姓名和電話號碼以及運(yùn)輸內(nèi)容;

護(hù)照

FormGet公開的許多文件的兩本護(hù)照(圖片:TechCrunch)

簡歷,包括姓名,郵政和電子郵件地址,電話號碼,教育背景和工作經(jīng)歷;

來自Google,Zoom甚至FormGet本身的發(fā)票,用于結(jié)算服務(wù) - 在某些情況下包括姓名,地址和部分信用卡號碼;

和幾個航空公司和酒店預(yù)訂收據(jù)。

這些類型的數(shù)據(jù)暴露 - 私人數(shù)據(jù)被錯誤公開 - 多年來已經(jīng)成為一個常見的安全問題。有幾種無意的數(shù)據(jù)泄露事件將存儲服務(wù)器權(quán)限更改為公共。今年早些時候,數(shù)以百萬計的抵押文件被曝光。在類似的數(shù)據(jù)泄漏中,刮掉的Facebook數(shù)據(jù)也被搶購一空。去年,由于配置錯誤,整個華盛頓州的互聯(lián)網(wǎng)提供商都將其“關(guān)鍵王國”暴露出來。

雖然公司經(jīng)常將人為錯誤暴露出來,但事實(shí)上,無意中將私有云數(shù)據(jù)公之于眾。

一位高級云安全工程師在TechCrunch的背景下發(fā)言說,主要的云服務(wù)在默認(rèn)情況下努力保持?jǐn)?shù)據(jù)安全。

“就亞馬遜而言,S3存儲桶的默認(rèn)設(shè)置是私有的 - 不允許直接未經(jīng)授權(quán)的互聯(lián)網(wǎng)訪問,”工程師說。亞馬遜還提供免費(fèi)工具,用于掃描用戶的云基礎(chǔ)架構(gòu)以查找錯誤配置。

“當(dāng)大量泄密的消息中有這些報道時,將責(zé)任歸咎于云提供商變得越來越困難,”工程師說。“在過去幾年的任何安裝中,開發(fā)人員都不得不竭盡全力揭露這些記錄。”

“一旦一個組織以這種非常疏忽的方式泄露數(shù)據(jù),他們幾乎沒有責(zé)備自己,”工程師說。


免責(zé)聲明:本文由用戶上傳,如有侵權(quán)請聯(lián)系刪除!

精彩推薦

圖文推薦

點(diǎn)擊排行

2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082   備案號:閩ICP備19027007號-6

本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。