聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
安全厂商 v*nMentor 发布报告称,美国能源行业劳力市场和服务提供商 RigUp 的一个 AWS S3 存储桶遭暴露,导致美国能源行业的数万份私密文件遭泄露。
RigUp 软件公司成立于2014年,连接遍布全美的独立合同商和企业。被发现的数据库包含企业和个人用户的超过7.6万份的文件。
3月10日,v*nMentor 公司发现了这些被暴露的S3 存储桶,它们被标记为 “ru”,包含很多分包含 RigUp 名称的文件,因此很快被锁定它就是存储桶所有者。这份数据库大小超过100GB,包含在2018年7月至2020年3月期间存储的数据。在这个数据库中,RigUp 存储了大量属于客户、合同承包商、求职者和入职候选人的文件。
该数据库中和人力资源相关的文件包括员工和候选人简历、个人照片(甚至是私人家庭照)、和保单及投保计划相关的文件和身份信息、专业人员身份、资料照片(包括美国军队人力)和位于不同领域的专业证书扫描件。
这些文件中包含大量个人可识别信息,如完整的联系人详情(姓名、地址、电话号码和家庭住址)、社保信息、出生日期、保单和税号、个人照片和其它与教育、专业经验及个人生活相关的信息。
该数据库中还包含与业务操作、项目以及与很多能源企业合作关系相关的内部记录,包括项目提案和应用、项目概述、演习设备技术图纸以及企业保险文档。
v*nMentor 表示,“如恶意黑客发现该数据库,则它本已成为多种欺诈阴谋和犯罪攻击的金矿。”该安全公司表示,这个问题的根因在于,RigUp 并未正确地保护数据库的安全,从而导致数千份个人信息遭暴露。不过 RigUp 获悉此事后立即解决。
Cerberus Sentinet 评论称,“这种数据泄露基本都是和认为错误有关,或者是因为在部署过程中未按照文档指南执行造成的,或者是因为未能自动化重要的安全步骤造成的。应对措施仍然是持续提高网络安全意识并在牵涉人为动作时保持警惕。任何企业都能做的减少网络泄露事件的第一件事也是最重要的事是创建安全意识。”
完整报告请见:
https://www.v*nmentor.com/blog/report-rigup-leak/
推荐阅读
原文链接
https://www.securityweek.com/rigup-database-exposed-76000-files-us-energy-sector
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。