泰國(guó)最大的4G移動(dòng)運(yùn)營(yíng)商TrueMove H遭遇數(shù)據(jù)泄露,AWS上46000人數(shù)據(jù)被直接曝光在網(wǎng)上,包括駕駛執(zhí)照和護(hù)照等信息。
運(yùn)營(yíng)商向在線客戶公開存儲(chǔ)在亞馬遜AWS S3存儲(chǔ)桶中的個(gè)人數(shù)據(jù)。泄露的數(shù)據(jù)還包括身份證件的掃描,數(shù)據(jù)一直保留至4月12日,當(dāng)時(shí)該公司限制訪問。
安全研究人員Niall Merrigan發(fā)現(xiàn)了大量數(shù)據(jù),試圖將此問題告知TrueMove H,但運(yùn)營(yíng)商沒有回應(yīng)。Merrigan透露,該AWS存儲(chǔ)桶包含總計(jì)32GB的46,000條記錄。
專家發(fā)表了一篇關(guān)于該案例的博客文章,他解釋說,像bucket stream 和bucket-finder這樣的工具,可以掃描互聯(lián)網(wǎng)上的開放S3 AWS buckers。
當(dāng)Merrigan 注意到屬于TrueMove H的那個(gè)時(shí),他使用bucket-finder工具找到開放的S3存儲(chǔ)桶。
“bucket-finder的輸出顯示了幾個(gè)問題,例如配置文件,源代碼和其他可能的信息披露。bucket-finder只能通過AWS S3 API獲取前1000個(gè)文件。為了簡(jiǎn)化,我將結(jié)果加載到一個(gè)小型SQL數(shù)據(jù)庫中進(jìn)行分析。我發(fā)現(xiàn)了所有擁有1000個(gè)文件的網(wǎng)站,并且進(jìn)行了快速的視覺掃描,看看它們包含了什么,以及是否有方法識(shí)別擁有者! 專家寫道。
在媒體曝光之后,TrueMove H發(fā)布了一份聲明,澄清數(shù)據(jù)泄漏影響了其子公司I True Mart。
一位法律專家表示,TrueMove H可能面臨數(shù)據(jù)泄露的懲罰,而安全專家呼吁電信運(yùn)營(yíng)商開始引入更完善的數(shù)據(jù)保護(hù)措施。(編譯/Andy)