Hack Read網站披露，Website Planet安全團隊發現了一個配置錯誤的亞馬遜S3“存儲池”，池中包含約250萬個文件，大小超過100GB。研究表明，該數據池屬于應鏈管理和物流巨頭D.W.Morgan公司，該公司總部位于加利福尼亞州，業務遍及全球。

[[442749]]

安全研究人員稱，數據庫中詳細記錄了D.W. Morgan企業員工和其全球客戶的財務、運輸、個人和敏感數據信息，其中更是有500強愛立信和財富500強思科。

值得一提的是，該數據庫最早于2021年11月12日已經被發現，但細節表明，上周才被Website Planet 披露。

暴露的數據詳情

糟糕的是，該存儲池沒有任何安全身份驗證或密碼的情況下仍然向公眾公開，意味著任何了解 AWS 存儲桶功能的人都可以輕松訪問數據。

暴露的數據類型如下所示：

• 簽名;
• 全名 ;
• 附件;
• 電話號碼;
• 訂購的貨物 ;
• 貨物損壞;
• 流程照片;
• 流程細節;
• 賬單地址;
• 發票的日期;
• 船運條碼;
• 未知文件;
• 交付地址;
• 設施位置;
• 貨物的照片;
• 為貨物支付的價格;
• 包裝標簽的照片;
• 現場文件的圖片;
• 運輸計劃和協議。

暴露數據示例截圖

下面屏幕截圖是公開的數據類型示例之一。 第一個屏幕截圖顯示了公司的各個位置，而第二個屏幕截圖顯示了 Cisco 給 DW Morgan 的 350,000 美元發票。

“喜憂參半”

值得注意的是，在Website Planet發出數據泄露警報后四天后，DW Morgan公司對數據庫采取了安全保護措施。但是，尚不清楚數據庫暴露期間是否被惡意威脅行為者訪問過。

盡管如此，安全專家建議，D.W. Morgan員工或客戶應該提高警惕，預防網絡釣魚詐騙、垃圾郵件攻擊或裝載有惡意軟件的惡意郵件等方式的網絡攻擊。

最后，Website Planet安全團隊在其博客文章中強調：企業應加強員工對網絡釣魚、惡意軟件、詐騙和其他形式網絡犯罪威脅的了解。

參考文章：https://www.hackread.com/logistics-giant-d-w-morgan-exposed-clients-data/