美國物流公司100G數據泄露,涉財富500強公司
美國物流公司100G數據泄露,涉財富500強公司。
Website Planet安全研究人員發現一家位于美國的跨國供應鏈管理和物流公司D.W. Morgan發生數據泄露事件。D.W. Morgan公司所有的一個Amazon S3 bucket被發現沒有授權控制機制,暴露了與運輸和公司客戶相關的敏感數據。泄露的數據總量超過100GB,涉及250萬個文件。這些泄露的數據所涉及的企業遍布全球,其中不乏財富500強企業。
研究人員在該bucket中發現里個不同的數據集,每個數據集都保存在對應的文件夾中。其中3個數據集包含敏感的客戶數據和雇員個人身份信息:
運輸計劃和協議;
過程照片;
附件。
Cisco的發貨程序
Life technology的發貨程序
其中2個數據集暴露了個人身份信息和敏感數據,但沒有具體到個人:
簽名;
未知文件。
運輸計劃和協議中列出了泄露的客戶的運輸計劃的每一步。相關信息中包含司機、倉庫職員和安保人員的信息。其中有150個文件暴露了敏感的客戶數據和雇員個人身份信息:
過程詳情,包括貨物上船、運輸和安全的具體過程;
客戶設施的位置;
客戶、第三方和D.W. Morgan雇員的全名;
客戶、第三方和D.W. Morgan雇員的手機號碼和辦公電話;
客戶、第三方和D.W. Morgan雇員的郵箱地址;
運輸過程的過程照片。這些照片是雇員拍攝以與D.W. Morgan的標準操作流程一致。Bucket中有超過80萬個文件,其中40萬個文件是唯一的。這些文件中暴露了敏感的客戶數據,包括:
現場文件的圖像;
貨物損毀的情況;
出貨照片;
包裝標簽照片。
附件中包含發票、運輸標簽和裝箱單。這些文件中包含D.W. Morgan客戶和第三方員工的信息。D.W. Morgan bucket中邪路的敏感客戶數據和雇員個人身份信息包括:
訂購的商品
商品的訂購價格
運輸地址
賬單地址
發票日期
第三方雇員全名
第三方雇員手機號碼
第三方雇員郵箱地址
還有2個數據集中的文件目前還沒有確定是屬于誰。
Bucket中還有簽名。雖然沒有關于簽名的其他信息,但推測這些簽名與貨物取件/卸貨有關。其中泄露了 DW Morgan 的員工或其客戶。研究人員在bucket中發現了超過 150 萬個此類文件,暴露的簽名有:
簽名(書面,未掃描)
全名,可在某些簽名中識別
DW Morgan 的Amazon S3 bucket仍處于活動狀態并正在更新。研究人員在bucket中發現了 2013 年至 2021 年末的文件。
亞馬遜不負責 DW Morgan bucket的管理,因此,對此次數據泄露沒有責任。
本文翻譯自:https://www.websiteplanet.com/blog/dwmorgan-leak-report/如若轉載,請注明原文地址。
