泰國最大的4G移動(dòng)運(yùn)營商TrueMove H遭遇數(shù)據(jù)泄露
2018年04月25日
泰國最大的4G移動(dòng)運(yùn)營商TrueMove H遭遇數(shù)據(jù)泄露�����,AWS上46000人數(shù)據(jù)被直接曝光在網(wǎng)上����,包括駕駛執(zhí)照和護(hù)照等信息��。
運(yùn)營商向在線客戶公開存儲(chǔ)在亞馬遜AWS S3存儲(chǔ)桶中的個(gè)人數(shù)據(jù)。泄露的數(shù)據(jù)還包括身份證件的掃描���,數(shù)據(jù)一直保留至4月12日�,當(dāng)時(shí)該公司限制訪問�。
安全研究人員Niall Merrigan發(fā)現(xiàn)了大量數(shù)據(jù),試圖將此問題告知TrueMove H����,但運(yùn)營商沒有回應(yīng)。Merrigan透露�����,該AWS存儲(chǔ)桶包含總計(jì)32GB的46,000條記錄���。
專家發(fā)表了一篇關(guān)于該案例的博客文章���,他解釋說,像bucket stream 和bucket-finder這樣的工具�����,可以掃描互聯(lián)網(wǎng)上的開放S3 AWS buckers���。
當(dāng)Merrigan 注意到屬于TrueMove H的那個(gè)時(shí)�����,他使用bucket-finder工具找到開放的S3存儲(chǔ)桶����。
“bucket-finder的輸出顯示了幾個(gè)問題,例如配置文件�����,源代碼和其他可能的信息披露�����。bucket-finder只能通過AWS S3 API獲取前1000個(gè)文件����。為了簡化,我將結(jié)果加載到一個(gè)小型SQL數(shù)據(jù)庫中進(jìn)行分析��。我發(fā)現(xiàn)了所有擁有1000個(gè)文件的網(wǎng)站��,并且進(jìn)行了快速的視覺掃描��,看看它們包含了什么��,以及是否有方法識(shí)別擁有者�����?!?專家寫道。
在媒體曝光之后����,TrueMove H發(fā)布了一份聲明,澄清數(shù)據(jù)泄漏影響了其子公司I True Mart���。
一位法律專家表示����,TrueMove H可能面臨數(shù)據(jù)泄露的懲罰��,而安全專家呼吁電信運(yùn)營商開始引入更完善的數(shù)據(jù)保護(hù)措施�。
*參考來源:SecurityAffairs,由Andy編譯�����,轉(zhuǎn)載請注明來自FreeBuf.COM
江蘇國駿--幫您落實(shí)“業(yè)務(wù)不停、數(shù)據(jù)不丟��、管理不難”的整體信息安全目標(biāo)?��。?/span>CIA)
產(chǎn)品方案應(yīng)用:網(wǎng)絡(luò)安全�����,數(shù)據(jù)安全�,運(yùn)維管理���;
人員能力提升:崗位評估�����,培訓(xùn)認(rèn)證��,意識(shí)教育���;
制度流程落地:制度建設(shè),合規(guī)檢查�,追責(zé)溯源;
專業(yè)服務(wù)保障:顧問咨詢�,風(fēng)險(xiǎn)測評�,安全加固����。
