数百万道琼斯客户记录因内部错误而暴露

据报道，亚马逊S3服务器上配置错误的数据库可能泄露了200万至400万道琼斯公司客户的数据。

道琼斯向SC Media证实，该公司认为，有220万份记录可能被公开查看，该公司称这一事件为“数据过度曝光”，并非违规行为，但UpGuard的网络风险团队“保守地”将这一数字推高至400万份。UpGuard的网络风险研究主管Chris Vickery在5月30日偶然发现了基于Amazon S3云的数据存储库，发现AWS认证用户可以访问它。然后他可以下载2GB的数据，其中包含道琼斯客户数据的文本日志。

UpGuard报告指出：“然而，根据对存储库的规模和组成的分析，UpGuard保守估计，这个数字可能高达400万，尽管重复订阅可能会造成一些差异。”。

下载的数据库包含客户名称、内部道琼斯客户ID、家庭和企业地址。UpGuard警告称，最关键的可能是在文件中包含客户信用卡的最后四位数字，以及用于登录其帐户的客户电子邮件地址，这些地址可用于编译钓鱼攻击。

道琼斯通讯主管史蒂夫塞文豪斯（Steve Severinghaus）对SC Media表示，这些数据“过度曝光”的只有AWS，而不是互联网。此外，这起事件并非由于一名未经授权的人员进入。

“这是由于内部错误，而不是黑客或攻击。Severinghaus说，客户信息包括基本联系信息；不包括可能对消费者造成重大风险或需要通知的完整信用卡或帐户登录信息。他补充说，该公司没有证据表明任何被曝光的数据都被拿走。

UpGuard此时也无法判断恶意参与者是否访问了任何信息。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场

原文来源