AWS S3配置错误导致美国运输管理软件公司敏感数据泄露

AWS S3配置错误导致美国运输管理软件公司敏感数据泄露

根据研究人员的说法,属于New Jersy的Descartes Aljex软件的103 GB的数据暴露在配置错误的AWS S3存储桶上。

在对常规服务器进行潜在漏洞的扫描时,网站星球团队发现一家总部位于美国的软件公司专注于为跨国货运经纪人提供运输管理软件,但该数据泄露影响了该公司,这些数据泄露了总计103 GB。

另一个配置错误的AWS S3存储桶

这影响了4,000多人,不仅包括他们自己的客户,还包括公司的员工,销售代表以及为第三方运营商工作的人员。

数据属于基于New Jersy的Descartes Aljex Software ,但由于配置错误的AWS S3存储桶而暴露,该存储桶不安全且容易受到入侵。这意味着,即使没有授权的用户也可能仅通过输入正确的URL即可访问存储桶。

重要的是要理解,这是拥有或管理数据库且未设置正确的身份验证过程的一方的错。

泄露了哪些数据?

随着大量个人识别信息(PII)暴露,对客户的影响非常强烈。当涉及到货件详细信息时,所公开的数据中包括货件信息,收件人的收货人姓名,货件起运地和目的地,地址和电话号码。

公开的Aljex客户的帐户数据包括全名,电话号码,电子邮件地址,Aljex用户名和纯文本密码。承运人信息,其全名和电子邮件地址以及其住所地址和电话号码受到了损害。

最后,公开的Aljex客户销售代表详细信息包括全名,公司电子邮件,Aljex用户名和销售代表ID。

数据泄露带来的风险

威胁参与者可以使用此数据来帮助跨其他平台进行欺诈性识别。

此外,网络钓鱼和恶意软件诈骗也可以通过发送到人们电子邮件地址的电子邮件进行部署,包括个性化的“点击诱饵”,以诱使目标用户点击进入不安全的网站。

竞争对手的企业可以通过企业间谍活动和反竞争行为的形式迁移或瞄准Aljex用户列表中的潜在客户。通过泄露的用户名和密码,黑客可以劫持受影响的帐户,并对Aljex的业务运营造成严重损害,进而也可能影响其合作伙伴和运营商。 

报告后数据是安全的

根据Website Planet的博客文章,该漏洞最早于2020年12月24日被发现,六天后研究人员与Aljex进行了联系,并于2021年1月2日与Amazon Web Services(AWS)进行了联系,以告知他们发现的结果。

Aljex声称该存储桶不属于他们,他们“将努力确定可能与之相关的人,并让他们知道自己的设置中具有此开放的AWS S3存储桶。” 数小时后将存储桶固定好。

from