成千上万的iPR软件用户暴露在Amazon S3存储桶上

iso60001  291天前

22.png

UpGuard的安全研究人员透露,发现了一个源自iPR Software的可公开访问的Amazon S3存储桶,数千名用户的信息被泄露。 

除其他各种文件外,数据收集还包含477,000个电子邮件地址和35,000个的哈希处理后密码。还发现了业务实体帐户信息,文档和管理系统凭据。  

该存储桶包含大量文件,其中一些文件可公开公共访问(大小总计超过TB),以及iPR开发人员的文档,客户的营销材料以及Google,Twitter和MongoDB上的帐户凭据托管服务提供商。

安全研究人员还发现了带有客户哈希密码的用户帐户,这些客户包括GE,施乐,CenturyLink,Forever21,Dunkin Donuts,纳斯达克,加利福尼亚法院和水星公共事务。也可以访问这些客户端目录中存储的文件。 

研究人员说:“使用和不使用密码的用户之间的区别从现有数据中未发现,但是使用密码的用户大概拥有他们可以登录的帐户,而没有密码的用户可能只是普通的联系人。” 

这个Amazon S3存储桶是在10月中旬发现的,iPR Software于10月24日收到通知。尽管该公司早已确认受到UpGuard的通知,但直到11月26日才进行了处理。

存储桶中文件的大量收集表明,它很可能和iPR内容管理系统的后端有关。内部文档揭示了有关iPR开发人员如何管理平台并帮助客户管理其数字营销的信息。 

“因此,存储桶中的内容既包括iPR用于管理平台及其用户帐户的内部资源,也包括通过iPR的CMS产品分发的客户文档。计算超过1TB的可下载文件后,通过AWS进行的多个总体大小查询超时。” UpGuard指出。 

一个包含从MongoDB数据库生成的备份的文件夹,最近的一个是2017年以来的17 GB文件。这也是477,000个媒体联系人所在的位置。 

鉴于泄漏的凭据包括iPR的Twitter帐户密钥,MongoDB的密码和Google API访问密钥,存储桶不仅会暴露各种客户端数据,而且还可能导致潜藏的数据丢失。 



◆来源:securityweek

◆本文版权归原作者所有,如有侵权请联系我们及时删除

最新评论

昵称
邮箱
提交评论