据外媒报道，网络服务评测机构 Website Planet 安全团队日前发现了一个配置错误的 Amazon S3 存储桶，该存储桶属于供应链管理和物流企业 DW Morgan ，该公司总部位于加利福尼亚州普莱森顿，业务遍及全球。据研究人员称，该存储桶包含价值超过 100 GB 的数据和 250 万个文件，详细说明了属于 DW Morgan 全球员工和客户的财务、运输、运输、个人和敏感记录，波及多家财富 500 强公司。

图1 DW Morgan 公开暴露的数据类型示例

尽管该存储桶于 2021 年 11月 12 日就被发现，但其详细信息直到近期才被 Website Planet 披露。更糟糕的是，该存储桶在没有任何安全身份验证或密码的情况下向公众公开暴露，这意味着任何了解 AWS 存储桶功能的人都可以访问数据。该存储桶错误配置期间暴露的数据类型完整列表包括签名、全名、附件、电话号码、订购的商品、货物损坏、处理照片、工艺细节、账单地址、发票日期、运输条码、未知文件、送货地址、设施位置、出货照片、为商品支付的价格、包装标签照片、现场文件图片、运输计划和协议(见图1示例)。

好消息是，目前尚不清楚该存储桶在暴露期间是否被恶意威胁行为者访问过。如果是 DW Morgan 的员工或客户之一，应该警惕网络钓鱼诈骗、垃圾邮件攻击或藏有恶意软件的恶意电子邮件会突然增加。

【本文是51CTO专栏作者“安全牛”的原创文章，转载请通过安全牛（微信公众号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文