泰國最大的4G移動(dòng)運(yùn)營商TrueMove H遭遇數(shù)據(jù)泄露
2018年04月25日
泰國最大的4G移動(dòng)運(yùn)營商TrueMove H遭遇數(shù)據(jù)泄露���,AWS上46000人數(shù)據(jù)被直接曝光在網(wǎng)上,包括駕駛執(zhí)照和護(hù)照等信息�。
運(yùn)營商向在線客戶公開存儲(chǔ)在亞馬遜AWS S3存儲(chǔ)桶中的個(gè)人數(shù)據(jù)。泄露的數(shù)據(jù)還包括身份證件的掃描�,數(shù)據(jù)一直保留至4月12日,當(dāng)時(shí)該公司限制訪問��。
安全研究人員Niall Merrigan發(fā)現(xiàn)了大量數(shù)據(jù)�,試圖將此問題告知TrueMove H,但運(yùn)營商沒有回應(yīng)�����。Merrigan透露����,該AWS存儲(chǔ)桶包含總計(jì)32GB的46,000條記錄。
專家發(fā)表了一篇關(guān)于該案例的博客文章�,他解釋說,像bucket stream 和bucket-finder這樣的工具���,可以掃描互聯(lián)網(wǎng)上的開放S3 AWS buckers����。
當(dāng)Merrigan 注意到屬于TrueMove H的那個(gè)時(shí),他使用bucket-finder工具找到開放的S3存儲(chǔ)桶����。
“bucket-finder的輸出顯示了幾個(gè)問題,例如配置文件�,源代碼和其他可能的信息披露。bucket-finder只能通過AWS S3 API獲取前1000個(gè)文件����。為了簡化,我將結(jié)果加載到一個(gè)小型SQL數(shù)據(jù)庫中進(jìn)行分析����。我發(fā)現(xiàn)了所有擁有1000個(gè)文件的網(wǎng)站,并且進(jìn)行了快速的視覺掃描��,看看它們包含了什么���,以及是否有方法識別擁有者���。“ 專家寫道���。
在媒體曝光之后�����,TrueMove H發(fā)布了一份聲明��,澄清數(shù)據(jù)泄漏影響了其子公司I True Mart�����。
一位法律專家表示��,TrueMove H可能面臨數(shù)據(jù)泄露的懲罰����,而安全專家呼吁電信運(yùn)營商開始引入更完善的數(shù)據(jù)保護(hù)措施�����。
*參考來源:SecurityAffairs���,由Andy編譯�,轉(zhuǎn)載請注明來自FreeBuf.COM
江蘇國駿--幫您落實(shí)“業(yè)務(wù)不停�����、數(shù)據(jù)不丟、管理不難”的整體信息安全目標(biāo)?����。?/span>CIA)
產(chǎn)品方案應(yīng)用:網(wǎng)絡(luò)安全��,數(shù)據(jù)安全�,運(yùn)維管理;
人員能力提升:崗位評估�����,培訓(xùn)認(rèn)證����,意識教育;
制度流程落地:制度建設(shè)�,合規(guī)檢查,追責(zé)溯源����;
專業(yè)服務(wù)保障:顧問咨詢,風(fēng)險(xiǎn)測評�����,安全加固。
