隨著在線文檔處理需求的增加，一些看似好用且免費(fèi)的工具在安全性上可能并不靠譜。據(jù)Cyber News消息，兩款在線PDF制工具已經(jīng)暴露了數(shù)萬份用戶上傳的文件。

這兩款PDF在線工具分別為PDF Pro （pdf-pro.io） 和 Help PDF （help-pdf.com），由同一家英國(guó)公司運(yùn)營(yíng)，均為用戶提供 PDF 轉(zhuǎn)換、壓縮、編輯以及簽署文檔功能。

研究人員發(fā)現(xiàn)，暴露的 Amazon S3 存儲(chǔ)桶呈開放狀態(tài)，意味著任何人都能夠獲取其中的數(shù)據(jù)。對(duì)其進(jìn)行分析發(fā)現(xiàn)，這兩款工具已經(jīng)累計(jì)暴露了89062份文件，其中87818 份文件通過 PDF Pro 上傳，1244 份文件通過 Help PDF 上傳。

這些暴露的文件涉及了大量用戶的敏感信息，包括、護(hù)照、駕駛執(zhí)照、證書、合同以及其他一些個(gè)人文件和資料。研究人員稱，通過訪問這些個(gè)人文件，網(wǎng)絡(luò)犯罪分子可以從事各種欺詐活動(dòng)，例如申請(qǐng)貸款，出租房產(chǎn)或使用受害者的身份進(jìn)行物品交易，甚至可以更改或偽造合同或許可證等文件，以創(chuàng)建虛假身份、偽造資格或操縱法律協(xié)議以謀取利益，從而可能給受害者帶來法律問題。

針對(duì)暴露的存儲(chǔ)桶，Cyber News提出了如下緩解措施：

• 立即限制對(duì)存儲(chǔ)桶的公有訪問
• 更改存儲(chǔ)桶策略和訪問控制列表 （ACL） 以僅將訪問權(quán)限限制為授權(quán)用戶或應(yīng)用程序
• 確保存儲(chǔ)桶中的所有對(duì)象都設(shè)置為私有或配置了適當(dāng)?shù)脑L問控制
• 在存儲(chǔ)桶上啟用服務(wù)器端加密，以保護(hù)靜態(tài)數(shù)據(jù)。管理員可以根據(jù)自己的要求在 SSE-S3、SSE-KMS 或 SSE-C 之間進(jìn)行選擇

對(duì)于用戶而言，雖然不少PDF在線工具都會(huì)聲明會(huì)對(duì)用戶文件保護(hù)，包括會(huì)加密存儲(chǔ)并在用戶處理完文件后刪除，但顯然，其中一些工具仍然會(huì)保留用戶文件，因此建議用戶不要將個(gè)人敏感文件上傳至網(wǎng)絡(luò)。