泰國(guó)最大的4G移動(dòng)運(yùn)營(yíng)商TrueMove H遭遇數(shù)據(jù)泄露,AWS上46000人數(shù)據(jù)被直接曝光在網(wǎng)上,包括駕駛執(zhí)照和護(hù)照等信息。
運(yùn)營(yíng)商向在線(xiàn)客戶(hù)公開(kāi)存儲(chǔ)在亞馬遜AWS S3存儲(chǔ)桶中的個(gè)人數(shù)據(jù)。泄露的數(shù)據(jù)還包括身份證件的掃描,數(shù)據(jù)一直保留至4月12日,當(dāng)時(shí)該公司限制訪問(wèn)。
安全研究人員Niall Merrigan發(fā)現(xiàn)了大量數(shù)據(jù),試圖將此問(wèn)題告知TrueMove H,但運(yùn)營(yíng)商沒(méi)有回應(yīng)。Merrigan透露,該AWS存儲(chǔ)桶包含總計(jì)32GB的46,000條記錄。
專(zhuān)家發(fā)表了一篇關(guān)于該案例的博客文章,他解釋說(shuō),像bucket stream 和bucket-finder這樣的工具,可以?huà)呙杌ヂ?lián)網(wǎng)上的開(kāi)放S3 AWS buckers。
當(dāng)Merrigan 注意到屬于TrueMove H的那個(gè)時(shí),他使用bucket-finder工具找到開(kāi)放的S3存儲(chǔ)桶。
“bucket-finder的輸出顯示了幾個(gè)問(wèn)題,例如配置文件,源代碼和其他可能的信息披露。bucket-finder只能通過(guò)AWS S3 API獲取前1000個(gè)文件。為了簡(jiǎn)化,我將結(jié)果加載到一個(gè)小型SQL數(shù)據(jù)庫(kù)中進(jìn)行分析。我發(fā)現(xiàn)了所有擁有1000個(gè)文件的網(wǎng)站,并且進(jìn)行了快速的視覺(jué)掃描,看看它們包含了什么,以及是否有方法識(shí)別擁有者! 專(zhuān)家寫(xiě)道。
在媒體曝光之后,TrueMove H發(fā)布了一份聲明,澄清數(shù)據(jù)泄漏影響了其子公司I True Mart。
一位法律專(zhuān)家表示,TrueMove H可能面臨數(shù)據(jù)泄露的懲罰,而安全專(zhuān)家呼吁電信運(yùn)營(yíng)商開(kāi)始引入更完善的數(shù)據(jù)保護(hù)措施。(編譯/Andy)