泰國(guó)最大的4G移動(dòng)運(yùn)營(yíng)商TrueMove H遭遇數(shù)據(jù)泄露

泰國(guó)最大的4G移動(dòng)運(yùn)營(yíng)商TrueMove H遭遇數(shù)據(jù)泄露，AWS上46000人數(shù)據(jù)被直接曝光在網(wǎng)上，包括駕駛執(zhí)照和護(hù)照等信息。

運(yùn)營(yíng)商向在線客戶公開(kāi)存儲(chǔ)在亞馬遜AWS S3存儲(chǔ)桶中的個(gè)人數(shù)據(jù)。泄露的數(shù)據(jù)還包括身份證件的掃描，數(shù)據(jù)一直保留至4月12日，當(dāng)時(shí)該公司限制訪問(wèn)。

安全研究人員Niall Merrigan發(fā)現(xiàn)了大量數(shù)據(jù)，試圖將此問(wèn)題告知TrueMove H，但運(yùn)營(yíng)商沒(méi)有回應(yīng)。Merrigan透露，該AWS存儲(chǔ)桶包含總計(jì)32GB的46,000條記錄。

專家發(fā)表了一篇關(guān)于該案例的博客文章，他解釋說(shuō)，像bucket stream 和bucket-finder這樣的工具，可以掃描互聯(lián)網(wǎng)上的開(kāi)放S3 AWS buckers。

當(dāng)Merrigan 注意到屬于TrueMove H的那個(gè)時(shí)，他使用bucket-finder工具找到開(kāi)放的S3存儲(chǔ)桶。

“bucket-finder的輸出顯示了幾個(gè)問(wèn)題，例如配置文件，源代碼和其他可能的信息披露。bucket-finder只能通過(guò)AWS S3 API獲取前1000個(gè)文件。為了簡(jiǎn)化，我將結(jié)果加載到一個(gè)小型SQL數(shù)據(jù)庫(kù)中進(jìn)行分析。我發(fā)現(xiàn)了所有擁有1000個(gè)文件的網(wǎng)站，并且進(jìn)行了快速的視覺(jué)掃描，看看它們包含了什么，以及是否有方法識(shí)別擁有者。“ 專家寫(xiě)道。

在媒體曝光之后，TrueMove H發(fā)布了一份聲明，澄清數(shù)據(jù)泄漏影響了其子公司I True Mart。

一位法律專家表示，TrueMove H可能面臨數(shù)據(jù)泄露的懲罰，而安全專家呼吁電信運(yùn)營(yíng)商開(kāi)始引入更完善的數(shù)據(jù)保護(hù)措施。（編譯/Andy）