Website Planet 安全團(tuán)隊(duì)發(fā)現(xiàn)了跨國(guó)物流巨頭亞馬遜S3存儲(chǔ)遭到數(shù)據(jù)泄露。S3存儲(chǔ)桶包含池中包含約250萬(wàn)個(gè)文件，超過(guò) 100 GB 的敏感數(shù)據(jù)，這些數(shù)據(jù)與運(yùn)輸和公司客戶有關(guān)，其中包括思科和愛(ài)立信等財(cái)富 500 強(qiáng)公司。該公司總部位于加利福尼亞州，業(yè)務(wù)遍及全球。

[[443010]]

研究人員于2021年11月12日發(fā)現(xiàn)了開(kāi)放的 AWS S3 存儲(chǔ)桶，并于當(dāng)天通知了該公司。2021年11月16日，D.W. Morgan 獲得了S3存儲(chǔ)桶。

據(jù)研究人員稱，該數(shù)據(jù)庫(kù)包含價(jià)值超過(guò)100 GB的數(shù)據(jù)和250萬(wàn)個(gè)文件，詳細(xì)說(shuō)明了屬于 D.W. Morgan 全球員工和客戶的財(cái)務(wù)、運(yùn)輸、運(yùn)輸、個(gè)人和敏感記錄。

暴露的數(shù)據(jù)包括：

• 簽名
• 全名
• 附件
• 電話號(hào)碼
• 訂購(gòu)的商品
• 貨物損壞
• 處理照片
• 工藝細(xì)節(jié)
• 賬單地址
• 發(fā)票日期
• 運(yùn)輸條碼
• 未知文件
• 送貨地址
• 設(shè)施位置
• 為商品支付的價(jià)格
• 出貨照片
• 包裝標(biāo)簽照片
• 現(xiàn)場(chǎng)文件圖片
• 運(yùn)輸計(jì)劃和協(xié)議。

盡管該數(shù)據(jù)庫(kù)于2021年11月12日就被發(fā)現(xiàn)，但其詳細(xì)信息僅在上周才由網(wǎng)站星球共享。 在撰寫(xiě)本文時(shí)，尚不清楚 S3 存儲(chǔ)桶的內(nèi)容是否在其在線不安全的情況下被威脅行為者訪問(wèn)。

“我們無(wú)法知道惡意行為者是否獲得了存儲(chǔ)桶的內(nèi)容。如果惡意行為者訪問(wèn)了存儲(chǔ)桶，D.W. Morgan 及其客戶可能會(huì)成為犯罪活動(dòng)的目標(biāo)，D.W. Morgan 也可能面臨來(lái)自多個(gè)司法管轄區(qū)的法律制裁。”

該公司的客戶可能會(huì)因?yàn)槠鋽?shù)據(jù)的暴露而成為惡意活動(dòng)的目標(biāo)，例如網(wǎng)絡(luò)釣魚(yú)活動(dòng)和詐騙。

雖然目前不知道惡意行為者是否訪問(wèn)了存儲(chǔ)桶的內(nèi)容，但如果有人下載或讀取存儲(chǔ)在 D.W. Morgan 配置錯(cuò)誤的存儲(chǔ)桶中的敏感數(shù)據(jù)，暴露的客戶可能面臨各種風(fēng)險(xiǎn)。尤其是企業(yè)，可能會(huì)因?yàn)殚_(kāi)放的桶而經(jīng)歷犯罪活動(dòng)和各種形式的網(wǎng)絡(luò)犯罪。