文章摘要:开放的数据库是造成数据泄露的根源,导致金融公司的敏感文档中暴露了425GB客户数据。周二,由Noam Rotem领导的vpnMentor研究人员表示,该数据库似乎已连接到MCA向导,该软件现已失效,该应用程序似乎是由Advantage Capital Funding和Argus Capital Funding开发的。 iOS / Android应用程序是作为商户现金透支(MCA)工具开发的,用于根
开放的数据库是造成数据泄露的根源,导致金融公司的敏感文档中暴露了425GB客户数据。
周二,由Noam Rotem领导的vpnMentor研究人员表示,该数据库似乎已连接到MCA向导,该软件现已失效,该应用程序似乎是由Advantage Capital Funding和Argus Capital Funding开发的。
iOS / Android应用程序是作为商户现金透支(MCA)工具开发的,用于根据企业未来基于信用卡的销售向他们提供短期贷款。该应用已不再在官方应用商店中提供。
该团队在与ZDNet 独家共享的一份报告中说,该数据库是通过vpnMentor的Web制图项目发现的。Amazon Web Services(AWS)S3存储桶于2019年12月首次发现,它没有使用任何形式的加密,身份验证或访问凭证,随着许多公司转向云服务,这种情况变得越来越普遍。
由于无法实现基本的安全协议,该数据库允许不受限制地访问具有Internet连接和S3存储桶地址的任何人。
研究人员说,数据库包含对MCA向导的引用,但是许多文件似乎与移动应用程序没有任何真正的联系。
取而代之的是,vpnMentor找到了超过500,000个“高度敏感”文档,其中包括来自Advantage和Argus的私人法律和财务文件。发现时,数据库中总共包含425GB的文件-在团队进行调查时,文件仍在积极地上传到存储桶中。
与公司业务相关的条目,包括信用报告,银行对帐单,合同,法律文件,驾驶执照副本,购买订单和收据,纳税申报表,社会保险信息以及交易报告。
这些记录不仅与Advantage和Argus有关。相反,他们还影响了“客户,客户,承包商,员工和合作伙伴”。
vpnMentor联络了Advantage和Argus,以告知他们泄漏的情况,但是发送给上述实体的电子邮件却被弹回。尝试在12月30日与供应商联系,但是在这些消息未能传递后,研究人员最终直接与AWS联系。该数据库于2020年1月9日关闭。
vpnMentor说:“此类犯罪的财务和法律后果可能不仅会破坏一个人的生意,而且会摧毁他们的整个生命。” “我们查看的许多文件显示了属于不同范围的私人和企业主的社会安全号码和其他形式的PII。它们可用于对受影响的人实施其他形式的欺诈,包括批发身份盗用。”
VpnMentor的映射项目在过去发现了许多其他数据泄露事件。其中包括一个支持合法大麻销售后端系统的数据库;公开与美国消费者,政府和军事旅行有关的记录的系统;一个显示主要连锁酒店安全日志的数据库,以及一个泄露用户数据的浏览器。 【转载需注明出处:https://www.ekongsoft.com/news/2020/564.htm】