数字钱包应用KeyRing日前被研究人员发现重大安全问题 , 其托管在亚马逊AWS平台的数据库被设置为公开状态。
该应用旨在帮助用户加密存储购买和财务数据等,例如可以用来关联沃尔玛会员卡或者添加自己的信用卡信息等。
这样用户出门就不必带着实体钱包并将各种会员卡和银行卡放在里面,但信息从实体转到线上后安全却成为问题。
配置错误泄露1400万名用户信息:
按理说涉及财务类的软件应该非常重视安全性,因为一旦出现安全问题可能会泄露大量用户信息并造成财物损失。
但是看起来KeyRing这款数字钱包应用对安全问题并不怎么重视,因为他们此次犯下的错误是个非常低劣的问题。
研究人员在检索时发现该公司托管在亚马逊云计算平台的存储库竟然是公开的,这意味着任何人都可以访问数据。
按理说这些存储库应该会设置私有状态且仅有有权限的管理员才可以访问,但显然KeyRing并没有遵循安全流程。
亚马逊云计算平台此前已经多次发布提醒,警告开发者和企业检查存储库状态,如无必要不应该设置成公开状态。
但是万万没想到这种涉及用户财务问题的软件竟然也会出现这种错误,直接将 1400 万用户暴露在整个互联网上。
还使用明文存储用户信用卡数据:
据开发商介绍该公司目前在全球拥有1400万名用户 ,这些用户在KeyRing绑定或添加的各种卡数量达6000万张。
这些卡既包括各种网站或实体店的会员卡,也包括用户的信用卡以及安全码信息,这取决于用户是否主动添加的。
同时还有许多用户将自己的详细身份信息和医疗记录绑定在内,这些数据竟然被KeyRing明文存储在数据库里面。
研究人员检查数据库时发现所有数据都被放在CSV文档里保存,这些数据没有加密只要下载即可任意进行读取等。
目前尚不清楚除研究人员外是否有黑客下载这些数据库,如果有黑客已下载数据库则可能会造成极大的安全问题。
研究人员警告称若数据泄露则用户信用卡可能会被盗刷,同时还可能遇到电信诈骗等,因此用户也需要提高警惕。