美国NCF被泄111G机密数据!AWS又捅娄子!

Talos  1824天前

Cvmo8lz441iAP2P5AABdp0nvhnw463.jpg

据UpGuard公司网络风险研究主任克里斯·维克里披露,他于2017年10月3日发现美国国家信用联合会National Credit Federation(简称NCF)有4.7万份文件,共111GB数据暴露在公开访问的亚马逊AWS S3云存储桶上,字段包括数万名客户的姓名、地址、出生日期、驾驶执照、社保号图片、信用报告、历史财务状况、信用卡号和银行账号。大多数文件为PDF和文本文档。文件的上传时间说明,暴露时间可追溯至2015年6月,暴露超过两年之久。

这些文件似乎是National Credit Federation整理的客户信息。按照NCF在官网的描述,最初,NCF代表会与客户讨论客户的财务状况,之后评估客户信用报告以达到提高信用的目的。泄露的文件包括3大类:

  1. 客户向NCF提交的有关个人信息和财务细节的文件,以制定“个性化信用规划蓝图”,包含抵押贷款、信用卡账单还款情况等信息。

  2. NCF为客户创建的视频,描绘了使用屏幕记录程序记录的NCF员工电脑桌面,视频文件似乎专为个人客户制作,描述了客户的个人识别信息。

  3. 美国征信机构Equifax、Experian和 TransUnion提供给客户的信用报告。

如此大量的信息泄露可能造成身份盗窃和财务损失风险。暴露的数据还包括Equifax、Experian和TransUnion提供的信用报告,数据详细到客户的历史财务状况。

克里斯·维克里表示,任何用户可输入存储库的URL访问并下载所有文件,毫无安全可言。数据每天都在更新,有人甚至会坐等数据更新。克里斯·维克里将这一事件描述为一个“极其不走心的错误”,因为有人关闭了AWS默认设置。S3存储桶默认设置为非公开访问,用户需通过某些选项设置为公开访问。

目前尚不清楚是否还有其他人发现这些数据。按照网络安全公司Flashpoint的说法,类似的数据在黑市售价为8美元/人。克里斯·维克里发现的这些数据价值几十万美元。

保守估计,受这起事件影响的NCF客户数量不超过4万。NCF数据泄露再次说明,小中型金融企业面临的网络风险不容小觑。除此之外,数据泄露还可能连带影响多家企业。存储高度敏感信息的这类云存储服务器暴露事件频繁发生,企业应引起高度重视。

此类数据泄露事件再次凸显出企业在加强网络弹性方面面临着巨大挑战。UpGuard指出,企业必须认真对待,投入时间和资源全面了解并控制他们的云存储服务系统。


来源:kknews

本文版权归原作者所有,如有侵权请联系我们及时删除

最新评论

昵称
邮箱
提交评论