三个不安全的Amazon S3存储桶泄露了属于Attunity及其备受瞩目的客户的1TB以上数据。
安全公司UpGuard上周末透露,数据管理公司Attunity通过三个配置错误的Amazon S3存储桶暴露了超过1TB的敏感数据。这个错误损害了Attunity的内部企业信息以及包括福特,TD银行和Netflix在内的知名企业的数据。
UpGuard研究员Chris Vickery在2019年5月13日发现可公开访问的S3存储桶“attunity-it”、“attunity-patch”和“attunity-support”。虽然受损数据的总量尚未确认,但Vickery下载了一个样本据UpGuard报道,大约1TB,其中包括750GB的压缩电子邮件备份。
“Attunity-it”保存了大量敏感数据以及2014年9月上传的最旧文件,但这并不意味着它们从那时起就可以公开访问。最新文件是在发现前几天上传的。随着时间的推移,有关于时区差异和Attunity最近被商业情报公司Qlik 收购的并发症被通知,2019年5月17日公众获取了桶。
暴露了什么?
Attunity的S3存储桶包括福特内部项目的详细信息,TD Bank的软件升级发票以及为TD Bank配置的技术信息。Vickery找到了Attunity员工OneDrive帐户的备份,这些帐户涵盖了人们完成工作所需的一系列数据:电子邮件、系统密码、销售和营销联系信息、项目规范。
“更令人惊讶的是员工电子邮件内容的数量,”Vickery继续说道,“你永远不会知道电子邮件档案中会发生什么。” 他指出,一些暴露的电子邮件包含用明文写的公司帐户密码。
暴露的文件包括Attunity内部系统的文档,描述他们如何处理客户数据的文档,以及显示全名、部门、地点、职位、雇用日期,年薪和一系列其他详细信息的员工信息电子表格。除此之外,Vickery发现与Attunity的美国员工相关联的员工ID号码使用与社会安全号码相同的编号方案,从而导致两者可能相同的想法。研究人员能够确认Attunity员工ID是有效的SSN; 但是,他们无法验证一个人的员工ID号也是他们的SSN。
“存在的数据量相当广泛,”Vickery说。“每当你超过一兆兆字节时,就会引起你的注意。” UpGuard通知了其调查结果,以及受风险影响的客户。
降低第三方风险
登录凭据(尤其是管理凭据)的暴露增加了访问这些存储桶的人的潜在范围。UpGuard研究人员不会尝试使用凭据,也无法确认Attunity泄漏中暴露的访问级别。Vickery说,问题在于Attunity对客户网络的访问级别。
“在某种程度上,客户可以给予Attunity访问,在某种程度上是特权,”他解释道。如果是这种情况,很难想象客户不会面临风险的情况。
系统凭证可以在Attunity数据集的多个位置找到,用于提醒如何将数据存储在组织中。诸如私钥的凭证被存储并在导向器中公开以用于配置它们各自的系统。如果暴露的凭据和数据对Attunity构成风险,则会对Attunity处理的数据造成风险。
Vickery建议拥有主要企业客户的公司“永远不要将任何东西上传到尚未加密的第三方云”。存储在配置错误的存储桶中的加密数据并不是一件大事; 即使研究人员或攻击者发现它,他们也无法阅读它。Vickery发现属于Attunity的可公开访问的存储桶以明文形式存储信息。
在与第三方建立合同时,他还建议包括存储和管理数据的“非常明确定义的区域”,以及备份数据的存储区的URL。他解释说,双方中的一方拥有或控制着这个“中立存储区”,但两者都能够验证数据是否可公开访问。
内容来源:安全客
https://www.darkreading.com/document.asp?doc_id=1335105&_mc=rss_x_drr_edt_aud_dr_x_x-rss-simple
Attunity作为一家数据管理公司,尚且难以避免出现数据泄露的问题,面对如今越加复杂的网络环境,保护信息安全,我们绝对不能掉以轻心,更不能忽视信息交换、共享等各个环节,形成完整的解决方案对数据安全防护大有裨益。优炫数据库(简称UXDB)由优炫软件自主研发,已获得众多行业用户的认可,近期优炫数据库新功能的增加,亦将为客户提供更好的数据安全服务。优炫软件专注于数据安全、数据库和数据服务,可为用户提供稳定、安全、行业领先的产品、服务及全方位解决方案。
2019-07-05 09:57:55
