示意圖,與新聞事件無關。

圖片來源: 

Verizon

安全公司UpGuard發現,美國電信公司Verizon因外包商在Amazon Web Service (AWS)的雲端儲存服務設定錯誤,導致至少600萬用戶包括姓名、住家地址及帳密有公開被看光的風險。
 
這項重大資料外洩風險事件是由UpGuard的網路風險因應小組(Cyber Risk Team)研究員Chris Vickery首先發現。他在AWS S3發現一個組態錯誤的檔案庫,發現Verizon用戶資料。這個檔案庫隸屬於Verizon負責電話軟體及資料處理的外包商NICE Systems,該公司基於特定業務,建立了2017年1月到6月的客戶資料夾。由於設定疏失,只要輸入S3 檔案庫的URL,就能將所有資料全部下載下來。
 
Vickery在6月13日發資料外洩後,立即通知Verizon及相關單位,不過直到6月22日Verizon方面才採取防護措施。
 
研究人員估計這個檔案庫內有1,400萬筆Verizon用戶資料,而除了Verizon的用戶資料外,這個檔案庫中的法文文字檔還包含NICE Systems另一家電信業客戶Orange的內部資料。 Verizon稍後向CNN證實確有此事,不過該公司表示數量只有600萬筆。
 
曝光的資料包括用戶姓名、住家地址、Verizon帳號及驗證密碼(PIN)、電話號碼等。研究人員指出,一旦PIN外洩後果相當嚴重,可使歹徒假冒用戶身分騙Verizon客服修改帳號資料,或是突破許多網站常用的雙因素驗證後進入Verizon網站變更、刪改或竊取帳戶資料。
 
這是近來最新一宗AWS服務設定不當致機密資料外洩事件。僅僅在上個月,同一名分析師已經分別揭露美國軍方將軍事衛星資料儲存在未加密的資料匣及政府機關差點洩露2億選民資料,後者並創下美國有史以來最大規模選民資料外洩的紀錄。

 


Advertisement

更多 iThome相關內容