Kromtech安全中心在本週三(5月30日)再次披露了兩起數據洩露事件,事件的主體包括本田汽車公司(HONDA)在印度的子公司——本田印度(Honda India)以及成立於1912年的全球音樂巨頭——環球唱片(Universal Music Group,UMG)。
其中,本田印度因為不安全的AWS S3存儲桶洩露了超過5萬名客戶的個人詳細信息,而環球唱片則因為受到其承包商的牽連,暴露了自己的內部FTP憑證、數據庫根密碼和AWS配置詳細信息,包括訪問密鑰和密碼。
本田印度洩露5萬移動應用程序用戶信息
Kromtech安全中心指出,本田汽車印度公司意外將超過5萬名Honda CONNECT移動應用程序用戶的個人詳細信息存儲在了兩個可公開訪問的Amazon S3存儲桶中,這使得黑客竊取這些數據成為了可能。
Honda CONNECT(智導互聯)是本田汽車公司與阿里巴巴・高德集團共同開發的新一代導航互聯繫統。它為用戶提供精準導航、在線娛樂、信息傳輸以及緊急救援等多樣化服務,允許用戶通過Honda CONNECT移動應用程序與自己的汽車進行互動,也可以與本田汽車公司提供的服務進行訂約和互動。
隨著時間的推移,該應用程序到目前為止已經收集並存儲了大量有關於用戶及其汽車的各種信息。Kromtech安全中心的研究人員Bob Diachenko發現,能夠被公開訪問的信息包括用戶及其可信聯繫人的姓名、電話號碼、密碼、性別和電子郵箱地址,以及有關他們汽車的信息,包括VIN、Connect ID等。
值得注意的是,Diachenko並不是第一個發現這兩個存儲桶的人。Diachenko說,當他發現這兩個存儲桶的時候,它們就已經包含了一個名為“poc.txt”的文件,並帶有安全提示信息。
從文件內容來看,它是由一位名叫Robbie Wiggins的安全研究員在今年2月28日創建的。近一年來,Wiggins一直在掃描互聯網上的AWS S3存儲桶,並將這些信息留在不安全的存儲桶中。Wiggins一直在這樣做,以提醒存儲桶所有者應該在數據遭到破壞前對它們採取保護措施。
Diachenko表示,與本田汽車印度公司取得聯繫並不容易,這大概花費了他們近兩週的時間。好消息是,該公司目前已經對此事進行了回應,而不安全的AWS S3存儲桶也已經得到了應有的保護。
環球唱片內部機密數據遭承包商意外暴露
Kromtech安全中心的專家發現,由於兩個未受保護的Apache Airflow服務器實例,環球唱片的雲數據存儲承包商Agilisium意外暴露了該公司的內部FTP憑證、AWS配置細節(訪問密鑰和密碼),以及內部源代碼細節(SQL密碼)。
Apache Airflow是一個以編程方式編寫、調度和監控工作流的平臺,基於Python。默認情況下,Airflow是完全開放的,這一點通常會在安全文檔的第一行寫明,這意味著用戶必須進行一些設置步驟來保護服務器。很顯然,Agilisium公司跳過了這些步驟,導致無意中暴露了一切。
在與環球唱片取得聯繫後,該公司迅速進行了回應並解決了問題。
閱讀更多 黑客視界 的文章
