5年了，Netflix、福特等全球百强公司数据遭亚马逊 S3 存储桶暴露

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

以色列数据集成和大数据管理公司 Attunity 因未能保护所管理的3个亚马逊 S3 存储桶的安全，导致财富百强客户如TD 银行、福特和 Netflix 公司信息遭暴露。

Attunity 目前至少与全球一半的财富百强公司开展合作，从其网站上来看客户超过2000个，泄露了客户以及自身的数据。UpGuard 公司的研究员从中下载了超过1TB 的数据进行研究。

虽然UpGuard 公司所发现的遭公开的 S3 存储桶的大小不确定，但其中所包含的数据包括高度敏感的商务数据和个人数据如“邮件往来、系统密码、销售和营销联系信息、项目详情等。”

UpGuard 公司在5月13日发现了该数据库，其最初的上传时间是在2014年9月，而最近上传文档的时间戳是在该 AWS 存储桶被发现的几天前。

在被暴露的数据中，研究人员发现了一个包含认证字符串的Netflix 数据库、TD 银行软件升级发票和福特的多种项目文档。

研究人员还在Attunity 数据集中找到了系统凭证，其中“私钥等凭证已存储并被公开在用于配置这类系统的目录中”，以此来“提醒人们这类信息如何被存储在组织机构数字资产中的很多地方。”

研究人员还从这三个被暴露的 AWS 存储桶中下载了样本数据集中的公司系统信息，IP 地址等也经由“Production VLAN”的工作表泄露，而 Attunity 自身的系统也遭泄露。

这个可遭公开访问的数据库中还存储了个人可识别信息，员工数据通过多个工作表所暴露，包括姓名、地址、出生日期、假期、工资等。

研究人员表示，“另外一个风险在于，和 Attunity 公司员工绑定的员工 ID 号码遵循和社会保障号码同样的编号方案，这就让我们认为二者是一致的。这张工作表中 Attunity 美国员工的 ID 是九位数，正好和社保号码数目一致。”

即使该数据泄露可能会影响高度敏感的商业文档和客户信息，其中一些受影响公司福特已经声明称，该事件并未造成严重后果。福特公司的一名女发言人 Monique Brentley 表示，“我们知道向 Attunity 等公司提供的信息类型，我们认为不存在什么问题。”

另外，TD 银行的发言人 MatthewDoherty 表示，“目前我们正在调查此事，截至目前尚未发现客户的个人信息和金融信息遭暴露。同时我们通过安全措施阻止越权访问以及使用客户的个人信息和金融信息。”

Attunity 所属母公司 Qlik 的一名发言人表示，“我们仍然在全面调查此事，并已经请外部安全公司开展独立安全评估。我们严肃对待此事并希望尽早结束调查。从目前的调查情况来看，从外部访问该数据的只有联系过我们的安全公司 (UpGuard)。”

原文链接

https://www.bleepingcomputer.com/news/security/netflix-ford-td-bank-data-exposed-by-open-amazon-s3-buckets/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”。