毎日、安全対策が不十分な Amazon Web Services S3 ストレージ バケットから、秘密がパブリック インターネットに漏洩しています。
今回は、FedEx の AWS クラウド サイロの設定ミスが原因で、パスポートや運転免許証など 119,000 枚を超えるスキャンされた文書のアーカイブと、郵便番号を含む顧客記録が公開されました。
Appleセキュリティ企業Kromtechがオンラインで発見した、漏洩したデータストアは、国際的なeコマース配送サービスBongo Internationalによって構築されたものでした。同社は2014年にFedExに買収され、3年後に閉鎖されました。データは古いものですが、古すぎるわけではなく、個人情報窃盗犯にとって依然として非常に有用な情報です。
「技術的には、2009年から2012年にかけてボンゴ・インターナショナルのサービスを利用した人は誰でも、その書類がスキャンされ、何年もオンラインで閲覧可能になるリスクがある」とクロムテック・セキュリティ・センターの広報責任者、ボブ・ディアチェンコ氏は木曜日に語った。
バケットは長年にわたり一般公開されていたようです。申請は2009年から2012年の間に行われており、フェデックスがボンゴ・インターナショナルを買収した際にこの「遺産」を認識していたかどうかは不明です。
ウエスタンユニオンが顧客の送金を行っている間に、ハッカーが顧客の個人情報を転送した。
続きを読む
ファイルは、ヨーロッパ、メキシコ、カナダ、サウジアラビア、クウェート、日本、マレーシア、中国、オーストラリアの顧客のものでした。その後、S3バケットはロックダウンされました。
最近、多くの人がオンラインで公開されているクラウドストレージフォルダをスキャンしており、膨大な量のデータが誰でも見つけられる状態で放置されています。Amazonは顧客のビットサイロのセキュリティ保護を支援しようとしてきましたが、誰も注意を払っていないようです。
一方、AWS S3ストレージの設定ミスから機密情報や恥ずかしい情報を自動的に見つけ出すソフトウェアツールや検索エンジンが登場しています。これらのクラウドバケットはデフォルトで非公開になっており、管理者が誤って開いてしまう可能性があります。
「予備調査の結果、サードパーティのパブリッククラウドプロバイダーがホストするサーバー上にアーカイブされたボンゴインターナショナルのアカウント情報の一部は安全であることが確認できました」と、かつて「絶対に、確実に、一晩でそこに届けなければならないとき」というスローガンで有名だったフェデックスの広報担当者は本日、ザ・レジスター紙に語った。
当該データは、ボンゴ社の買収後に廃止されたサービスの一部でした。情報の不正流用を示す兆候は確認されておらず、引き続き調査を継続します。®
