数字钱包应用Key Ring会在配置错误的云数据库上公开用户数据

发现在多个Amazon Web Services Inc. S3存储桶中暴露了属于Key Ring数字钱包应用程序的1400万用户的数据。

漏洞由vpnMentor的安全研究人员Noam Rotem和Ran Locar于今天发现并发布。该应用程序主要用于上传会员卡的扫描图像和照片,还被许多用户用来存储驾驶执照,信用卡等的副本。

暴露的S3存储桶(总共五个)被错误配置并设置为公开,其中包含4,400万张图像。除信用卡和驾驶执照外,还发现了其他图像,包括医疗保险卡,医用大麻卡,政府身份证,礼品卡,甚至还有国家步枪协会会员卡。

推荐阅读
1的5,195

除了其消费者应用程序方面,Key Ring还可以作为多个美国零售品牌的营销平台。在存储桶中还可以找到CSV文件,其中详细上架了Key Ring的许多公司客户的会员列表和报告,其中包括数百万人的个人身份信息。

该数据库最早是在一月份与公司联系的2月18日发现的。该数据库于2月20日离线。

研究人员注意到他们无法确定没有其他人在通知Key Ring之前找到了S3存储桶并下载了数据,研究人员说:“如果恶意黑客发现了这些存储桶,会对Key Ring用户(以及公司本身)造成影响将会是巨大的。”

该公司本身尚未对该报告公开发表评测。

培训公司Lucy Security AG的网络安全宣传员Patrick Hamilton告诉SiliconANGLE,“开发人员可以将“最低限度的可行产品”表示为“做了这项工作”,他们常常忘记在其生存能力方面增加安全性。” “对于钥匙圈,说基本的安全卫生措施似乎很简单,那就要遵循S3存储桶随附的说明。”

对于钥匙圈用户,汉密尔顿补充说:“有最低的便利成本:现在,他们必须对收到的每一封电子邮件保持高度警惕。具有此类信息的网络钓鱼攻击将很容易越过防火墙。”

图片:钥匙圈

资讯来源:由0x资讯编译自SILICONANGLE。版权归作者Duncan Riley所有,未经许可,不得转载
关注我们:Twitter | Facebook | Linkedin | Medium | Telegram | Weibo | WeChat