[[443136]]

據(jù)外媒報道，網(wǎng)絡(luò)服務(wù)評測機(jī)構(gòu) Website Planet 安全團(tuán)隊日前發(fā)現(xiàn)了一個配置錯誤的 Amazon S3 存儲桶，該存儲桶屬于供應(yīng)鏈管理和物流企業(yè) DW Morgan ，該公司總部位于加利福尼亞州普萊森頓，業(yè)務(wù)遍及全球。據(jù)研究人員稱，該存儲桶包含價值超過 100 GB 的數(shù)據(jù)和 250 萬個文件，詳細(xì)說明了屬于 DW Morgan 全球員工和客戶的財務(wù)、運(yùn)輸、運(yùn)輸、個人和敏感記錄，波及多家財富 500 強(qiáng)公司。

圖1 DW Morgan 公開暴露的數(shù)據(jù)類型示例

盡管該存儲桶于 2021 年 11月 12 日就被發(fā)現(xiàn)，但其詳細(xì)信息直到近期才被 Website Planet 披露。更糟糕的是，該存儲桶在沒有任何安全身份驗證或密碼的情況下向公眾公開暴露，這意味著任何了解 AWS 存儲桶功能的人都可以訪問數(shù)據(jù)。該存儲桶錯誤配置期間暴露的數(shù)據(jù)類型完整列表包括簽名、全名、附件、電話號碼、訂購的商品、貨物損壞、處理照片、工藝細(xì)節(jié)、賬單地址、發(fā)票日期、運(yùn)輸條碼、未知文件、送貨地址、設(shè)施位置、出貨照片、為商品支付的價格、包裝標(biāo)簽照片、現(xiàn)場文件圖片、運(yùn)輸計劃和協(xié)議(見圖1示例)。

好消息是，目前尚不清楚該存儲桶在暴露期間是否被惡意威脅行為者訪問過。如果是 DW Morgan 的員工或客戶之一，應(yīng)該警惕網(wǎng)絡(luò)釣魚詐騙、垃圾郵件攻擊或藏有惡意軟件的惡意電子郵件會突然增加。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文