子弹穿不透 2018-04-17
泰国最大的4G移动运营商TrueMove H遭遇数据泄露,AWS上46000人数据被直接曝光在网上,包括驾驶执照和护照等信息。
运营商向在线客户公开存储在亚马逊AWS S3存储桶中的个人数据。泄露的数据还包括身份证件的扫描,数据一直保留至4月12日,当时该公司限制访问。
安全研究人员Niall Merrigan发现了大量数据,试图将此问题告知TrueMove H,但运营商没有回应。Merrigan透露,该AWS存储桶包含总计32GB的46,000条记录。
专家发表了一篇关于该案例的博客文章,他解释说,像bucket stream 和bucket-finder这样的工具,可以扫描互联网上的开放S3 AWS buckers。
当Merrigan 注意到属于TrueMove H的那个时,他使用bucket-finder工具找到开放的S3存储桶。
“bucket-finder的输出显示了几个问题,例如配置文件,源代码和其他可能的信息披露。bucket-finder只能通过AWS S3 API获取前1000个文件。为了简化,我将结果加载到一个小型SQL数据库中进行分析。我发现了所有拥有1000个文件的网站,并且进行了快速的视觉扫描,看看它们包含了什么,以及是否有方法识别拥有者。“ 专家写道。
在媒体曝光之后,TrueMove H发布了一份声明,澄清数据泄漏影响了其子公司I True Mart。
一位法律专家表示,TrueMove H可能面临数据泄露的惩罚,而安全专家呼吁电信运营商开始引入更完善的数据保护措施。
*参考来源:SecurityAffairs