FedEx客户数据公开暴露在Cloud Storage Server上

2019-09-27 16:16:14 来源: INeng财经

FedEx是最新一家无意间将个人身份信息留在云存储服务器上公开的公司。2月15日,安全公司Kromtech公开报告说,它发现了一个不安全的云存储库,其中包含来自美国和国际公民的119,000个扫描文档。数据来自邦戈国际公司,该公司于2014年被联邦快递公司收购。

“从技术上讲,任何在2009-2012年期间使用Bongo International服务的人都有被扫描和在线获取文件多年的风险,” Kromtech安全中心通讯主管Bob Diachenko说。 “好像桶已经连续多年可供公众使用了。”

Bongo收集了由Kromtech发现的扫描数据,这是个人通过代理获取邮件的申请过程的一部分。扫描的信息包括驾驶执照,护照和其他形式的安全标识。迪亚琴科表示,目前尚不清楚联邦快递在2014年收购Bongo International时是否知道扫描的数据。

不过,很明显,联邦快递现在已经知道了数据,并已采取措施保护它的安全。

“经过初步调查,我们可以确认位于由第三方托管的服务器上的一些归档邦戈国际账户信息,公共云提供商的安全,”联邦快递表示。“数据是我们收购Bongo后停止提供的服务的一部分。”

联邦快递补充说,它没有发现任何信息被盗用的迹象,该公司将继续进行调查。

亚马逊S3泄漏

Bongo存储的数据托管在Amazon S3(简单存储服务)存储桶中。Bongo显然没有正确配置数据存储桶,从而使那些知道从何处查找数据的人可以进行公共访问。

研究人员和攻击者都可以使用多种工具和方法来查找可能暴露的Amazon S3存储桶。这样的工具之一就是开源AWS BucketDump项目,根据该项目的GitHub项目页面,该项目提供了一种在S3 Buckets中查找有趣文件的安全方法。

联邦快递当然不是第一家,也不是最后一家收到报告的公司,该报告以某种方式使客户信息在云中公开暴露。近年来,多组安全研究人员报告了类似事件。2017年12月,安全公司Upguard 报告称,数据分析公司Alteryx在亚马逊S3存储桶中暴露了1.23亿美国人的信息,该公司是消费者信用报告机构Experian的业务合作伙伴。其他将客户数据无意间暴露在云中的公司包括Accenture和Verizon等。

如何限制云数据泄漏的风险

尽管经常报告Amazon S3云数据泄漏,但是组织可以使用亚马逊自己的工具采取许多步骤来限制风险。

在所有公开报告的Amazon S3数据泄漏中,存储桶都以某种方式配置不当,从而导致意外的公共访问。亚马逊的S3用户可以使用多种技术来发现S3存储桶中的个人身份信息,并保护这些数据。

Amazon Macie服务于2017年8月首次宣布,它是一种机器学习技术,可帮助组织查找可能存储在其S3存储桶中的机密信息。亚马逊还提供了2017年11月宣布的 S3加密功能,使组织能够加密存储在S3最强大的机密信息中,从而有助于限制数据泄漏的风险。

Amazon Web Services(AWS)Config服务为组织提供了附加功能,以保护其S3存储桶。AWS Config为Amazon的云服务提供了策略和配置设置。亚马逊在2017年通过预设规则改进了AWS Config,该规则使组织可以阻止对S3存储实例的公共读写。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。