新闻快讯
< >

美国NCF被泄111G机密数据! AWS又捅娄子!

E安全12月2日讯 据UpGuard公司网络风险研究主任克里斯·维克里披露,他于2017年10月3日发现美国国家信用联合会National Credit Federation(简称NCF)有4.7万份文件,共111GB数据暴露在公开访问的亚马逊AWS S3云存储桶上,字段包括数万名客户的姓名、地址、出生日期、驾驶执照、社保号图片、信用报告、历史财务状况、信用卡号和银行账号。大多数文件为PDF和文本文档。文件的上传时间说明,暴露时间可追溯至2015年6月,暴露超过两年之久。

美国信用修复公司111GB客户机密数据被泄 又是因为亚马逊AWS S3配置错误-E安全

1.jpg

这些文件似乎是National Credit Federation整理的客户信息。按照NCF在官网的描述,最初,NCF代表会与客户讨论客户的财务状况,之后评估客户信用报告以达到提高信用的目的。泄露的文件包括3大类:

  1. 客户向NCF提交的有关个人信息和财务细节的文件,以制定“个性化信用规划蓝图”,包含抵押贷款、信用卡账单还款情况等信息。

  2. NCF为客户创建的视频,描绘了使用屏幕记录程序记录的NCF员工电脑桌面,视频文件似乎专为个人客户制作,描述了客户的个人识别信息。

  3. 美国征信机构Equifax、Experian和 TransUnion提供给客户的信用报告。

1.jpg

如此大量的信息泄露可能造成身份盗窃和财务损失风险。暴露的数据还包括Equifax、Experian和TransUnion提供的信用报告,数据详细到客户的历史财务状况。

克里斯·维克里表示,任何用户可输入存储库的URL访问并下载所有文件,毫无安全可言。数据每天都在更新,有人甚至会坐等数据更新。克里斯·维克里将这一事件描述为一个“极其不走心的错误”,因为有人关闭了AWS默认设置。S3存储桶默认设置为非公开访问,用户需通过某些选项设置为公开访问。

目前尚不清楚是否还有其他人发现这些数据。按照网络安全公司Flashpoint的说法,类似的数据在黑市售价为8美元/人。克里斯·维克里发现的这些数据价值几十万美元。

保守估计,受这起事件影响的NCF客户数量不超过4万。NCF数据泄露再次说明,小中型金融企业面临的网络风险不容小觑。除此之外,数据泄露还可能连带影响多家企业。存储高度敏感信息的这类云存储服务器暴露事件频繁发生,企业应引起高度重视。

此类数据泄露事件再次凸显出企业在加强网络弹性方面面临着巨大挑战。UpGuard指出,企业必须认真对待,投入时间和资源全面了解并控制他们的云存储服务系统。

相关阅读:

又泄密了!美国防部100GB顶级机密在AWS上曝光

亚马逊AWS服务器信息泄露 180万选民信息被曝光
美国防部数据被承包商泄露公开至亚马逊服务器上

全球第六大传媒公司Viacom因亚马逊AWS云服务器配置不当致大量敏感数据被泄
又是AWS数据库配置错误,时代华纳400万客户信息在线泄露
美国TigerSwan因第三方AWS安全疏忽泄露 9400份敏感简历,或含美驻印尼大使、中情局前员工信息
亚马逊S3存储桶应【警惕】“影子写手”攻击
亚马逊 AWS S3又中招!50多万台汽车跟踪设备的登录凭证泄露

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。