1.媒体来源:
iThome
2.完整新闻标题:
又一桩AWS设定错误!外包商出包让至少600万Verizon用户资料曝光
3.完整新闻内文:
UpGuard的研究人员发现Verizon的外包厂商NICE Systems将Verizon客户资料存放于AWS
S3,由于组态设定错误,外人只要输入S3 档案库的URL就能存取资料,Verizon证实约600
万用户资料在网络上曝光。
文/林妍溱 | 2017-07-13发表
安全公司UpGuard发现,美国电信公司Verizon因外包商在Amazon Web Service (AWS)的云
端储存服务设定错误,导致至少600万用户包括姓名、住家地址及帐密有公开被看光的风
险。
这项重大资料外泄风险事件是由UpGuard的网络风险因应小组(Cyber Risk Team)研究员
Chris Vickery首先发现。他在AWS S3发现一个组态错误的档案库,发现Verizon用户资料
。这个档案库隶属于Verizon负责电话软件及资料处理的外包商NICE Systems,该公司基
于特定业务,建立了2017年1月到6月的客户资料夹。由于设定疏失,只要输入S3 档案库
的URL,就能将所有资料全部下载下来。
Vickery在6月13日发资料外泄后,立即通知Verizon及相关单位,不过直到6月22日
Verizon方面才采取防护措施。
研究人员估计这个档案库内有1,400万笔Verizon用户资料,而除了Verizon的用户资料外
,这个档案库中的法文文字档还包含NICE Systems另一家电信业客户Orange的内部资料
。 Verizon稍后向CNN证实确有此事,不过该公司表示数量只有600万笔。
曝光的资料包括用户姓名、住家地址、Verizon帐号及验证密码(PIN)、电话号码等。研究
人员指出,一旦PIN外泄后果相当严重,可使歹徒假冒用户身分骗Verizon客服修改帐号资
料,或是突破许多网站常用的双因素验证后进入Verizon网站变更、删改或窃取帐户资料
。
这是近来最新一宗AWS服务设定不当致机密资料外泄事件。仅仅在上个月,同一名分析师
已经分别揭露美国军方将军事卫星资料储存在未加密的资料匣及政府机关差点泄露2亿选
民资料,后者并创下美国有史以来最大规模选民资料外泄的纪录。
4.完整新闻连结 (或短网址):
http://www.ithome.com.tw/news/115549
5.备注:
想要全世界的财富吗?欢迎到AWS公有云挖宝喔^_<*