据外媒报道,网络服务评测机构 Website Planet 安全团队日前发现了一个配置错误的 Amazon S3 存储桶,该存储桶属于供应链管理和物流企业 DW Morgan ,该公司总部位于加利福尼亚州普莱森顿,业务遍及全球。据研究人员称,该存储桶包含价值超过 100 GB 的数据和 250 万个文件,详细说明了属于 DW Morgan 全球员工和客户的财务、运输、运输、个人和敏感记录,波及多家财富 500 强公司。
尽管该存储桶于 2021 年 11月 12 日就被发现,但其详细信息直到近期才被 Website Planet 披露。更糟糕的是,该存储桶在没有任何安全身份验证或密码的情况下向公众公开暴露,这意味着任何了解 AWS 存储桶功能的人都可以访问数据。该存储桶错误配置期间暴露的数据类型完整列表包括签名、全名、附件、电话号码、订购的商品、货物损坏、处理照片、工艺细节、账单地址、发票日期、运输条码、未知文件、送货地址、设施位置、出货照片、为商品支付的价格、包装标签照片、现场文件图片、运输计划和协议(见图1示例)。
好消息是,目前尚不清楚该存储桶在暴露期间是否被恶意威胁行为者访问过。如果是 DW Morgan 的员工或客户之一,应该警惕网络钓鱼诈骗、垃圾邮件攻击或藏有恶意软件的恶意电子邮件会突然增加。