[[443136]]

據外媒報道，網絡服務評測機構 Website Planet 安全團隊日前發現了一個配置錯誤的 Amazon S3 存儲桶，該存儲桶屬于供應鏈管理和物流企業 DW Morgan ，該公司總部位于加利福尼亞州普萊森頓，業務遍及全球。據研究人員稱，該存儲桶包含價值超過 100 GB 的數據和 250 萬個文件，詳細說明了屬于 DW Morgan 全球員工和客戶的財務、運輸、運輸、個人和敏感記錄，波及多家財富 500 強公司。

圖1 DW Morgan 公開暴露的數據類型示例

盡管該存儲桶于 2021 年 11月 12 日就被發現，但其詳細信息直到近期才被 Website Planet 披露。更糟糕的是，該存儲桶在沒有任何安全身份驗證或密碼的情況下向公眾公開暴露，這意味著任何了解 AWS 存儲桶功能的人都可以訪問數據。該存儲桶錯誤配置期間暴露的數據類型完整列表包括簽名、全名、附件、電話號碼、訂購的商品、貨物損壞、處理照片、工藝細節、賬單地址、發票日期、運輸條碼、未知文件、送貨地址、設施位置、出貨照片、為商品支付的價格、包裝標簽照片、現場文件圖片、運輸計劃和協議(見圖1示例)。

好消息是，目前尚不清楚該存儲桶在暴露期間是否被惡意威脅行為者訪問過。如果是 DW Morgan 的員工或客戶之一，應該警惕網絡釣魚詐騙、垃圾郵件攻擊或藏有惡意軟件的惡意電子郵件會突然增加。

【本文是51CTO專欄作者“安全牛”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文