美國(guó)物流公司100G數(shù)據(jù)泄露，涉財(cái)富500強(qiáng)公司。

Website Planet安全研究人員發(fā)現(xiàn)一家位于美國(guó)的跨國(guó)供應(yīng)鏈管理和物流公司D.W. Morgan發(fā)生數(shù)據(jù)泄露事件。D.W. Morgan公司所有的一個(gè)Amazon S3 bucket被發(fā)現(xiàn)沒(méi)有授權(quán)控制機(jī)制，暴露了與運(yùn)輸和公司客戶相關(guān)的敏感數(shù)據(jù)。泄露的數(shù)據(jù)總量超過(guò)100GB，涉及250萬(wàn)個(gè)文件。這些泄露的數(shù)據(jù)所涉及的企業(yè)遍布全球，其中不乏財(cái)富500強(qiáng)企業(yè)。

研究人員在該bucket中發(fā)現(xiàn)里個(gè)不同的數(shù)據(jù)集，每個(gè)數(shù)據(jù)集都保存在對(duì)應(yīng)的文件夾中。其中3個(gè)數(shù)據(jù)集包含敏感的客戶數(shù)據(jù)和雇員個(gè)人身份信息：

運(yùn)輸計(jì)劃和協(xié)議;

過(guò)程照片;

附件。

Cisco的發(fā)貨程序

Life technology的發(fā)貨程序

其中2個(gè)數(shù)據(jù)集暴露了個(gè)人身份信息和敏感數(shù)據(jù)，但沒(méi)有具體到個(gè)人：

簽名;

未知文件。

運(yùn)輸計(jì)劃和協(xié)議中列出了泄露的客戶的運(yùn)輸計(jì)劃的每一步。相關(guān)信息中包含司機(jī)、倉(cāng)庫(kù)職員和安保人員的信息。其中有150個(gè)文件暴露了敏感的客戶數(shù)據(jù)和雇員個(gè)人身份信息：

過(guò)程詳情，包括貨物上船、運(yùn)輸和安全的具體過(guò)程;

客戶設(shè)施的位置;

客戶、第三方和D.W. Morgan雇員的全名;

客戶、第三方和D.W. Morgan雇員的手機(jī)號(hào)碼和辦公電話;

客戶、第三方和D.W. Morgan雇員的郵箱地址;

運(yùn)輸過(guò)程的過(guò)程照片。這些照片是雇員拍攝以與D.W. Morgan的標(biāo)準(zhǔn)操作流程一致。Bucket中有超過(guò)80萬(wàn)個(gè)文件，其中40萬(wàn)個(gè)文件是唯一的。這些文件中暴露了敏感的客戶數(shù)據(jù)，包括：

現(xiàn)場(chǎng)文件的圖像;

貨物損毀的情況;

出貨照片;

包裝標(biāo)簽照片。

附件中包含發(fā)票、運(yùn)輸標(biāo)簽和裝箱單。這些文件中包含D.W. Morgan客戶和第三方員工的信息。D.W. Morgan bucket中邪路的敏感客戶數(shù)據(jù)和雇員個(gè)人身份信息包括：

訂購(gòu)的商品

商品的訂購(gòu)價(jià)格

運(yùn)輸?shù)刂?/p>

賬單地址

發(fā)票日期

第三方雇員全名

第三方雇員手機(jī)號(hào)碼

第三方雇員郵箱地址

還有2個(gè)數(shù)據(jù)集中的文件目前還沒(méi)有確定是屬于誰(shuí)。

Bucket中還有簽名。雖然沒(méi)有關(guān)于簽名的其他信息，但推測(cè)這些簽名與貨物取件/卸貨有關(guān)。其中泄露了 DW Morgan 的員工或其客戶。研究人員在bucket中發(fā)現(xiàn)了超過(guò) 150 萬(wàn)個(gè)此類文件，暴露的簽名有：

簽名(書(shū)面，未掃描)

全名，可在某些簽名中識(shí)別

DW Morgan 的Amazon S3 bucket仍處于活動(dòng)狀態(tài)并正在更新。研究人員在bucket中發(fā)現(xiàn)了 2013 年至 2021 年末的文件。

亞馬遜不負(fù)責(zé) DW Morgan bucket的管理，因此，對(duì)此次數(shù)據(jù)泄露沒(méi)有責(zé)任。

本文翻譯自：https://www.websiteplanet.com/blog/dwmorgan-leak-report/如若轉(zhuǎn)載，請(qǐng)注明原文地址。