1.媒體來源:
iThome
2.完整新聞標題:
又一樁AWS設定錯誤!外包商出包讓至少600萬Verizon用戶資料曝光
3.完整新聞內文:
UpGuard的研究人員發現Verizon的外包廠商NICE Systems將Verizon客戶資料存放於AWS
S3,由於組態設定錯誤,外人只要輸入S3 檔案庫的URL就能存取資料,Verizon證實約600
萬用戶資料在網路上曝光。
文/林妍溱 | 2017-07-13發表
安全公司UpGuard發現,美國電信公司Verizon因外包商在Amazon Web Service (AWS)的雲
端儲存服務設定錯誤,導致至少600萬用戶包括姓名、住家地址及帳密有公開被看光的風
險。
這項重大資料外洩風險事件是由UpGuard的網路風險因應小組(Cyber Risk Team)研究員
Chris Vickery首先發現。他在AWS S3發現一個組態錯誤的檔案庫,發現Verizon用戶資料
。這個檔案庫隸屬於Verizon負責電話軟體及資料處理的外包商NICE Systems,該公司基
於特定業務,建立了2017年1月到6月的客戶資料夾。由於設定疏失,只要輸入S3 檔案庫
的URL,就能將所有資料全部下載下來。
Vickery在6月13日發資料外洩後,立即通知Verizon及相關單位,不過直到6月22日
Verizon方面才採取防護措施。
研究人員估計這個檔案庫內有1,400萬筆Verizon用戶資料,而除了Verizon的用戶資料外
,這個檔案庫中的法文文字檔還包含NICE Systems另一家電信業客戶Orange的內部資料
。 Verizon稍後向CNN證實確有此事,不過該公司表示數量只有600萬筆。
曝光的資料包括用戶姓名、住家地址、Verizon帳號及驗證密碼(PIN)、電話號碼等。研究
人員指出,一旦PIN外洩後果相當嚴重,可使歹徒假冒用戶身分騙Verizon客服修改帳號資
料,或是突破許多網站常用的雙因素驗證後進入Verizon網站變更、刪改或竊取帳戶資料
。
這是近來最新一宗AWS服務設定不當致機密資料外洩事件。僅僅在上個月,同一名分析師
已經分別揭露美國軍方將軍事衛星資料儲存在未加密的資料匣及政府機關差點洩露2億選
民資料,後者並創下美國有史以來最大規模選民資料外洩的紀錄。
4.完整新聞連結 (或短網址):
http://www.ithome.com.tw/news/115549
5.備註:
想要全世界的財富嗎?歡迎到AWS公有雲挖寶喔^_<*