網(wǎng)上又公開(kāi)了另一批數(shù)據(jù)。這次，VPN Mentor的IT安全研究人員已經(jīng)確定了整個(gè)北美數(shù)百萬(wàn)不知情用戶的個(gè)人詳細(xì)信息。

該漏洞是由于配置錯(cuò)誤的Amazon Web Services(AWS)S3沒(méi)有任何安全身份驗(yàn)證的結(jié)果。簡(jiǎn)而言之：只要具備識(shí)別公開(kāi)數(shù)據(jù)庫(kù)的簡(jiǎn)單知識(shí)，任何人都可以訪問(wèn)該數(shù)據(jù)。

[[322553]]

據(jù)VPNMentor的研究小組稱，該數(shù)據(jù)庫(kù)屬于總部位于德克薩斯州奧斯汀的公司“ Key Ring”，該數(shù)字錢(qián)包允許用戶上傳和存儲(chǔ)其文檔的數(shù)字副本，包括信用卡，身份證，護(hù)照，駕駛執(zhí)照，禮品卡，等等

該公司擁有超過(guò)1400萬(wàn)客戶的隱私和安全都受到了威脅。VPN Mentor 在博客中透露，數(shù)字錢(qián)包暴露了5個(gè)S3存儲(chǔ)桶，其中包含高度敏感的信息，包括信用卡數(shù)據(jù)的副本，包括其編號(hào)，有效期和CVV編號(hào)。

1：信用卡2：NRA會(huì)員卡3：政府身份證。(圖像通過(guò)vpnMentor)

此外，個(gè)人身份信息(PII)也是泄漏數(shù)據(jù)的一部分，其中包括社會(huì)安全號(hào)碼，政府身份證，和醫(yī)療保險(xiǎn)卡，NRA會(huì)員卡，禮品卡，會(huì)員卡，零售俱樂(lè)部會(huì)員卡。

總共泄漏的圖像數(shù)量高達(dá)4400萬(wàn)。但是，它并沒(méi)有到此結(jié)束，實(shí)際上，數(shù)據(jù)庫(kù)繼續(xù)公開(kāi)了全名，電子郵件地址，出生日期，郵政編碼和Key Ring客戶的位置。此外，IP地址，加密密碼和家庭地址也被暴露。

所有這些內(nèi)容都是純文本格式的。該公司不向歐洲用戶提供服務(wù)，因此不會(huì)受到GDPR巨額罰款的打擊，反而會(huì)給北美客戶帶來(lái)沉重打擊。

盡管目前尚不清楚第三方是否出于惡意目的訪問(wèn)了數(shù)據(jù)庫(kù)，它將使客戶遭受現(xiàn)實(shí)中的敲詐勒索以及身份盜竊欺詐。此外，由于所有信用卡號(hào)均以純文本形式提供，因此黑客還可以清空其銀行帳戶并進(jìn)行稅務(wù)欺詐。

• 如果惡意黑客發(fā)現(xiàn)了這些存儲(chǔ)桶，則對(duì)Key Ring用戶(以及公司本身)的影響將是巨大的。實(shí)際上，我們無(wú)法確定在通知Key Ring之前沒(méi)有其他人找到這些S3存儲(chǔ)桶并下載了內(nèi)容。
• 如果發(fā)生這種情況，僅刪除公開(kāi)的數(shù)據(jù)的保護(hù)可能不夠。VPN Mentor的團(tuán)隊(duì)警告說(shuō)，黑客仍然可以訪問(wèn)本地，脫機(jī)存儲(chǔ)且完全無(wú)法追蹤的所有數(shù)據(jù)。

但是，這不是第一次錯(cuò)誤配置的S3存儲(chǔ)桶公開(kāi)了如此大量的數(shù)據(jù)。幾天前，一家云存儲(chǔ)提供商以純文本形式公開(kāi)了數(shù)百萬(wàn)客戶的數(shù)據(jù)。在另一起事件中，一個(gè)配置錯(cuò)誤的S3鏟斗向公眾暴露了美軍的社交媒體間諜活動(dòng)。