網上又公開了另一批數據。這次，VPN Mentor的IT安全研究人員已經確定了整個北美數百萬不知情用戶的個人詳細信息。

該漏洞是由于配置錯誤的Amazon Web Services(AWS)S3沒有任何安全身份驗證的結果。簡而言之：只要具備識別公開數據庫的簡單知識，任何人都可以訪問該數據。

[[322553]]

據VPNMentor的研究小組稱，該數據庫屬于總部位于德克薩斯州奧斯汀的公司“ Key Ring”，該數字錢包允許用戶上傳和存儲其文檔的數字副本，包括信用卡，身份證，護照，駕駛執照，禮品卡，等等

該公司擁有超過1400萬客戶的隱私和安全都受到了威脅。VPN Mentor 在博客中透露，數字錢包暴露了5個S3存儲桶，其中包含高度敏感的信息，包括信用卡數據的副本，包括其編號，有效期和CVV編號。

1：信用卡2：NRA會員卡3：政府身份證。(圖像通過vpnMentor)

此外，個人身份信息(PII)也是泄漏數據的一部分，其中包括社會安全號碼，政府身份證，和醫療保險卡，NRA會員卡，禮品卡，會員卡，零售俱樂部會員卡。

總共泄漏的圖像數量高達4400萬。但是，它并沒有到此結束，實際上，數據庫繼續公開了全名，電子郵件地址，出生日期，郵政編碼和Key Ring客戶的位置。此外，IP地址，加密密碼和家庭地址也被暴露。

所有這些內容都是純文本格式的。該公司不向歐洲用戶提供服務，因此不會受到GDPR巨額罰款的打擊，反而會給北美客戶帶來沉重打擊。

盡管目前尚不清楚第三方是否出于惡意目的訪問了數據庫，它將使客戶遭受現實中的敲詐勒索以及身份盜竊欺詐。此外，由于所有信用卡號均以純文本形式提供，因此黑客還可以清空其銀行帳戶并進行稅務欺詐。

• 如果惡意黑客發現了這些存儲桶，則對Key Ring用戶(以及公司本身)的影響將是巨大的。實際上，我們無法確定在通知Key Ring之前沒有其他人找到這些S3存儲桶并下載了內容。
• 如果發生這種情況，僅刪除公開的數據的保護可能不夠。VPN Mentor的團隊警告說，黑客仍然可以訪問本地，脫機存儲且完全無法追蹤的所有數據。

但是，這不是第一次錯誤配置的S3存儲桶公開了如此大量的數據。幾天前，一家云存儲提供商以純文本形式公開了數百萬客戶的數據。在另一起事件中，一個配置錯誤的S3鏟斗向公眾暴露了美軍的社交媒體間諜活動。