FormGet安全失效暴露了數(shù)千個敏感的用戶上傳文件

FormGet自稱是一家位于印度博帕爾的在線表格制作商和電子郵件營銷公司。該公司允許其43,000名客戶創(chuàng)建在線表格，以便其他人可以提交簡歷或申請工作，或提供地址或工作證明，在線購買商品等。我們怎么知道?因為該公司將其中一個云存儲服務器保持在線并且沒有密碼而暴露在外。一位匿名安全研究人員發(fā)現(xiàn)了FormGet公開的Amazon S3存儲桶，并告知TechCrunch希望獲得數(shù)據(jù)安全。FormGet在我們于周三聯(lián)系該公司后一夜之間將該桶拉下線。但該公司的創(chuàng)始人兼首席執(zhí)行官Neeraj Agarwal沒有回復幾封要求置評的電子郵件和后續(xù)行動。

存儲桶中包含數(shù)十萬個文件和文檔。存儲桶每年都有一個文件夾，其歷史可以追溯到2013年，每個月都包含子文件夾，其中包含用戶上傳的文檔。

我們審核的部分文件包含高度敏感的信息，包括：

掃描幾本護照 - 包括美國護照 - 和其他掃描文件，如支票，社會安全號碼，駕駛執(zhí)照，國民身份證等;

退伍軍人事務部的信件，證明前服務連接殘疾補償?shù)耐宋檐娙?，包括支付的金額;

獲得的貸款和抵押的詳情，包括金額，利率和歷史，以及銀行賬戶報表，燃氣賬單，現(xiàn)役表格的軍事排放和其他類似的居住證明;

文件1

在公開的服務器上找到的幾個居住證明文件，包括銀行和貸款聲明(圖片：TechCrunch)

一些內(nèi)部公司文件，包括標有“機密”和“僅供內(nèi)部使用”的幾家銀行和金融機構的網(wǎng)絡安全評估摘要;

UPS運輸標簽，包括姓名和電話號碼以及運輸內(nèi)容;

護照

FormGet公開的許多文件的兩本護照(圖片：TechCrunch)

簡歷，包括姓名，郵政和電子郵件地址，電話號碼，教育背景和工作經(jīng)歷;

來自Google，Zoom甚至FormGet本身的發(fā)票，用于結算服務 - 在某些情況下包括姓名，地址和部分信用卡號碼;

和幾個航空公司和酒店預訂收據(jù)。

這些類型的數(shù)據(jù)暴露 - 私人數(shù)據(jù)被錯誤公開 - 多年來已經(jīng)成為一個常見的安全問題。有幾種無意的數(shù)據(jù)泄露事件將存儲服務器權限更改為公共。今年早些時候，數(shù)以百萬計的抵押文件被曝光。在類似的數(shù)據(jù)泄漏中，刮掉的Facebook數(shù)據(jù)也被搶購一空。去年，由于配置錯誤，整個華盛頓州的互聯(lián)網(wǎng)提供商都將其“關鍵王國”暴露出來。

雖然公司經(jīng)常將人為錯誤暴露出來，但事實上，無意中將私有云數(shù)據(jù)公之于眾。

一位高級云安全工程師在TechCrunch的背景下發(fā)言說，主要的云服務在默認情況下努力保持數(shù)據(jù)安全。

“就亞馬遜而言，S3存儲桶的默認設置是私有的 - 不允許直接未經(jīng)授權的互聯(lián)網(wǎng)訪問，”工程師說。亞馬遜還提供免費工具，用于掃描用戶的云基礎架構以查找錯誤配置。

“當大量泄密的消息中有這些報道時，將責任歸咎于云提供商變得越來越困難，”工程師說。“在過去幾年的任何安裝中，開發(fā)人員都不得不竭盡全力揭露這些記錄。”

“一旦一個組織以這種非常疏忽的方式泄露數(shù)據(jù)，他們幾乎沒有責備自己，”工程師說。