泰國最大的4G移動運營商TrueMove H遭遇數據泄露,AWS上46000人數據被直接曝光在網上,包括駕駛執照和護照等信息。
運營商向在線客戶公開存儲在亞馬遜AWS S3存儲桶中的個人數據。泄露的數據還包括身份證件的掃描,數據一直保留至4月12日,當時該公司限制訪問。
安全研究人員Niall Merrigan發現了大量數據,試圖將此問題告知TrueMove H,但運營商沒有回應。Merrigan透露,該AWS存儲桶包含總計32GB的46,000條記錄。
專家發表了一篇關于該案例的博客文章,他解釋說,像bucket stream 和bucket-finder這樣的工具,可以掃描互聯網上的開放S3 AWS buckers。
當Merrigan 注意到屬于TrueMove H的那個時,他使用bucket-finder工具找到開放的S3存儲桶。
“bucket-finder的輸出顯示了幾個問題,例如配置文件,源代碼和其他可能的信息披露。bucket-finder只能通過AWS S3 API獲取前1000個文件。為了簡化,我將結果加載到一個小型SQL數據庫中進行分析。我發現了所有擁有1000個文件的網站,并且進行了快速的視覺掃描,看看它們包含了什么,以及是否有方法識別擁有者。“ 專家寫道。
在媒體曝光之后,TrueMove H發布了一份聲明,澄清數據泄漏影響了其子公司I True Mart。
一位法律專家表示,TrueMove H可能面臨數據泄露的懲罰,而安全專家呼吁電信運營商開始引入更完善的數據保護措施。(編譯/Andy)
