研究人員發(fā)現(xiàn)了一個(gè)屬于View Media的不安全數(shù)據(jù)桶，其中包含近3900萬(wàn)美國(guó)公民記錄。

賽博新聞研究小組發(fā)現(xiàn)了一個(gè)屬于在線營(yíng)銷公司View Media的不安全數(shù)據(jù)桶。這個(gè)存儲(chǔ)桶包含近3900萬(wàn)美國(guó)公民記錄，包括他們的全名、電子郵件和街道地址、電話號(hào)碼和郵政編碼。

數(shù)據(jù)庫(kù)保留在一個(gè)可公開(kāi)訪問(wèn)的amazonwebservices（AWS）服務(wù)器上，允許任何人訪問(wèn)和下載數(shù)據(jù)。繼8月早些時(shí)候CyberNews報(bào)道的3.5億封電子郵件泄露事件之后，這是今年夏天我們第二次遇到包含如此大量用戶數(shù)據(jù)的無(wú)安全保護(hù)的Amazon存儲(chǔ)桶。

7月29日，exposed View Media bucket被亞馬遜關(guān)閉，不再可訪問(wèn)。

若要查看您的電子郵件地址是否已暴露在此或其他安全漏洞中，請(qǐng)使用我們的個(gè)人數(shù)據(jù)泄漏檢查器。

桶里有什么數(shù)據(jù)？

公開(kāi)可用的Amazon S3存儲(chǔ)桶包含5302個(gè)文件，包括：

700份針對(duì)性電子郵件和直郵廣告活動(dòng)的工作聲明文檔存儲(chǔ)在PDF文件中59個(gè)CSV和XLS文件中，共包含38765297個(gè)美國(guó)公民記錄，其中23511441個(gè)記錄是唯一的

這些用戶記錄文件是根據(jù)營(yíng)銷公司的營(yíng)銷活動(dòng)所針對(duì)的地點(diǎn)和郵政編碼創(chuàng)建的，其中包括美國(guó)境內(nèi)人員的全名、地址、郵政編碼、電子郵件和電話號(hào)碼。

除了工作聲明文檔和用戶記錄外，這個(gè)存儲(chǔ)桶中還有數(shù)千個(gè)用于各種營(yíng)銷材料的文件，例如橫幅廣告、時(shí)事通訊和促銷傳單。

公開(kāi)記錄示例

下面是一些用戶記錄和工作聲明文檔的示例，這些文檔保留在可公開(kāi)訪問(wèn)的bucket上。

大多數(shù)CSV文件包含我們假設(shè)的目標(biāo)人口統(tǒng)計(jì)數(shù)字或?qū)嶓w營(yíng)銷材料的用戶記錄。

2018年至2019年期間的營(yíng)銷活動(dòng)工作說(shuō)明文件：

誰(shuí)擁有數(shù)據(jù)桶？

不安全的Amazon S3存儲(chǔ)桶似乎屬于View Media，這是一家專門(mén)從事電子郵件營(yíng)銷、顯示廣告、設(shè)計(jì)、托管、直郵、日期銷售和其他數(shù)字營(yíng)銷服務(wù)的在線營(yíng)銷公司。該公司為論壇媒體和時(shí)代傳媒集團(tuán)等美國(guó)出版品牌提供有針對(duì)性的營(yíng)銷服務(wù)。

除了數(shù)以百萬(wàn)計(jì)的美國(guó)公民記錄外，這個(gè)水桶還包括數(shù)千份營(yíng)銷時(shí)事通訊、促銷傳單設(shè)計(jì)、橫幅廣告和View Media為其客戶創(chuàng)建的工作聲明文檔。

誰(shuí)有權(quán)限？

這個(gè)bucket托管在amazonaws服務(wù)器上，該服務(wù)器已經(jīng)暴露了一段時(shí)間，目前還不清楚是否有壞人訪問(wèn)了其中存儲(chǔ)的數(shù)據(jù)。

也就是說(shuō)，不安全的Amazon存儲(chǔ)桶相對(duì)來(lái)說(shuō)不需要任何授權(quán)就很容易找到和訪問(wèn)，這意味著任何知道在哪里查找的人都可以下載這些文件。

有什么影響？

即使不安全的Amazon S3存儲(chǔ)桶中的文件不包含高度敏感的個(gè)人信息，如社會(huì)安全或信用卡號(hào)碼，網(wǎng)絡(luò)犯罪分子仍可以將數(shù)據(jù)庫(kù)中的個(gè)人信息用于各種惡意目的：

騙子可以利用暴露人員的姓名、電子郵件地址和電話號(hào)碼進(jìn)行各種各樣的欺詐計(jì)劃。簡(jiǎn)單的聯(lián)系方式就足以讓垃圾郵件發(fā)送者和網(wǎng)絡(luò)釣魚(yú)者從多個(gè)角度對(duì)3800多萬(wàn)名暴露在外的美國(guó)人發(fā)動(dòng)針對(duì)性攻擊，如機(jī)器人電話、短信、電子郵件，社會(huì)工程活動(dòng)確定的網(wǎng)絡(luò)罪犯可以將這個(gè)桶里的數(shù)據(jù)與其他數(shù)據(jù)泄露相結(jié)合，建立身份盜用的潛在目標(biāo)的檔案

數(shù)據(jù)怎么了？

因?yàn)槲覀冏畛鯚o(wú)法確定不安全存儲(chǔ)桶的所有者，所以我們?cè)?月27日聯(lián)系了亞馬遜，幫助他們保護(hù)數(shù)據(jù)庫(kù)。他們?cè)?月29日關(guān)閉了水桶。

然后，我們聯(lián)系了存儲(chǔ)在存儲(chǔ)桶上的工作說(shuō)明文檔中提到的營(yíng)銷公司的一位客戶，他在8月21日幫助我們確定了View Media是數(shù)據(jù)庫(kù)的所有者。8月24日，我們聯(lián)系了觀點(diǎn)傳媒，就此次泄密事件發(fā)表官方評(píng)論。但是，我們沒(méi)有收到公司的回復(fù)。
責(zé)編AJX