标题 | 简介 | 类型 | 公开时间 | ||||||||||
|
|||||||||||||
|
|||||||||||||
详情 | |||||||||||||
[SAFE-ID: JIWO-2024-1195] 作者: ecawen 发表于: [2017-12-22]
本文共 [529] 位读者顶过
UpGuard网络风险团队在本周二又给我们带来了一个关于数据泄露的重磅消息,一个属于美国加州数据分析公司Alteryx的亚马逊AWS S3存储桶意外在线暴露。 [出自:jiwo.org] 其泄露的敏感数据至少会让1.23亿美国家庭受到影响,而如此严重的泄露事件再一次来自一个简单的人为配置错误。 数据来自益百利和美国人口普查局从内容上来看,这些数据主要来自Alteryx公司的两大合作伙伴:美国消费者信用报告机构Experian(益百利)和美国人口普查局(U.S. Census Bureau)。 具体来说,这些数据一部分来自Experian的ConsumerView营销数据库,而另一部分则来自2010年的美国人口普查。 虽然,人口普查数据完全由可公开获取的统计数据和信息组成。但Experian的ConsumerView营销数据库就包含了太多的公共细节和敏感数据。 暴露的存储桶在10月6日被发现根据UpGuard的说法,这个存储桶是UpGuard网络风险研究总监Chris Vickery于今年10月6日在子域“alteryxdownload”发现的。 UpGuard首先发现,存储桶包含了大量的Alteryx软件版本、开发工具以及Alteryx公司为其客户生成的分析应用程序。在对这些文件详细查看后,UpGuard注意到其中有两个文件所包含的数据似乎并不属于Alteryx公司本身。
1.23亿美国家庭隐私信息被揭露其中一个命名为“ConsumerView_10_2013.yxdb”的数据库表结构文档,大小超36GB。表格共有1.23亿行,每一行都代表了一个不同的美国家庭。
虽然,表格使用匿名记录ID来识别家庭,但依然能够看到关于各个家庭的各种隐私信息。这包括,家庭住址、联系方式、抵押贷款状况、财务状况以及购买行为的详尽分析......甚至可以细化到国内旅游习惯、喜爱何种宠物以及爱好什么体育项目等等。
“授权”定义混淆导致人为配置错误Vickery指出,虽然亚马逊AWS S3存储桶的默认安全设置通常只允许授权用户访问内容,但这个存储桶的管理员显然没有能够正确理解亚马逊AWS对于“授权用户”的定义。 在这个存储桶中,其管理员的确进行了访问权限的限制配置。但他所配置的“授权”,并不是指需要通过存储桶管理员的授权,而是指通过亚马逊AWS的账户注册审核。 UpGuard在报告中写道:“简单地说,你可以随意使用一个电子邮箱地址,甚至新建一个邮箱地址来注册一个AWS账户。然后,这就是访问这个存储桶所需的全部必要条件。” Alteryx补充强调,注册AWS账户是完全免费的,而目前亚马逊AWS的注册用户量至少超过了100万。 |