AWS S3再出问题 本田印度50000客户的详细数据被泄露

据国外媒体bleepingcomputer报道,Kromtech Security发布的报告称,本田汽车印度公司把超过50000名用户的个人详细信息暴露在了两个公共Amazon S3服务器中。

AWS S3再出问题 本田印度50000客户的详细数据被泄露

  据悉,这两个AWS bucket包含本田汽车印度公司开发的移动应用程序Honda Connect用户的个人详细信息。

  本田Connect是远程汽车管理应用程序,用户可以操作他们的本田智能汽车,也可以与本田汽车印度公司提供的服务进行预约和互动。

  S3 buckets泄露了用户姓名、密码、车辆识别码以及其他信息

  例如,随着时间线,这款应用会收集和存储有关本田印度用户和他们汽车的大量数据。

AWS S3再出问题 本田印度50000客户的详细数据被泄露

  Kromtech security的研究者Bob Diachenko发现了泄露的情况,并且联系本田,表示服务器包含了下列类型的用户和车辆信息:姓名、用户性别、用户手机号码和受信赖的联系人电话、用户邮件地址和受信赖的联系人邮件地址、账户密码、车辆识别码、车辆连接ID和其他信息。

  但是,Diachenko并不是第一个发现本田印度S3 bucket的泄露人员。Diachenko说,当他来到这个已经暴露的“地方”,他们已经包含一个“poc.txt”的文件夹,有以下信息:

AWS S3再出问题 本田印度50000客户的详细数据被泄露

  这是一个自动的文件夹,由安全研究者Robbie Wiggins创建。近一年来,Wiggins一直在扫描互联网上的AWS S3 buckets,并把这些信息留在不安全的服务器上。他一直这么做,以警告服务器所有者,并督促他们有人劫持或盗窃他们的数据之前,好好保护自己的服务器。

  Diachenko说,他看到Wiggins时间是在今年2月28日,距离现在3个月过几天。

  “本田汽车印度的人员并没有注意到安全研究人员在它们buckets上留下的信息,” Diachenko说。“这没有任何借口,它清晰地说明了它们只是在没有监控的情况下以自动驾驶运行。”

  与此同时,Kromtech研究人员亲自向本田汽车印度通报了他们现在获得安全保护的S3 bucket。

  实际上,近年来,亚马逊AWS S3 bucket出事不少。在3月份,沃尔玛珠宝合作伙伴MBM公司130万客户的个人数据被曝光和去年发生的MongDB实例事件。

  根据安全公司 Skyhigh Networks 的统计数据显示,7%的 Amazon S3 bucket 都未做公开访问的限制,35%的 bucket 都未做加密,这意味着整个 Amazon S3 服务器中都普遍存在这样的问题。

立即加入让云安全“看得清、防得住、追得到”
立即使用
马上咨询