美国物流公司100G数据泄露，涉财富500强公司

美国物流公司100G数据泄露，涉财富500强公司。

Website Planet安全研究人员发现一家位于美国的跨国供应链管理和物流公司D.W. Morgan发生数据泄露事件。D.W. Morgan公司所有的一个Amazon S3 bucket被发现没有授权控制机制，暴露了与运输和公司客户相关的敏感数据。泄露的数据总量超过100GB，涉及250万个文件。这些泄露的数据所涉及的企业遍布全球，其中不乏财富500强企业。

研究人员在该bucket中发现里个不同的数据集，每个数据集都保存在对应的文件夹中。其中3个数据集包含敏感的客户数据和雇员个人身份信息：

运输计划和协议；

过程照片；

附件。

Cisco的发货程序

Life technology的发货程序

其中2个数据集暴露了个人身份信息和敏感数据，但没有具体到个人：

签名；

未知文件。

运输计划和协议中列出了泄露的客户的运输计划的每一步。相关信息中包含司机、仓库职员和安保人员的信息。其中有150个文件暴露了敏感的客户数据和雇员个人身份信息：

过程详情，包括货物上船、运输和安全的具体过程；

客户设施的位置；

客户、第三方和D.W. Morgan雇员的全名；

客户、第三方和D.W. Morgan雇员的手机号码和办公电话；

客户、第三方和D.W. Morgan雇员的邮箱地址；

运输过程的过程照片。这些照片是雇员拍摄以与D.W. Morgan的标准操作流程一致。Bucket中有超过80万个文件，其中40万个文件是唯一的。这些文件中暴露了敏感的客户数据，包括：

现场文件的图像；

货物损毁的情况；

出货照片；

包装标签照片。

附件中包含发票、运输标签和装箱单。这些文件中包含D.W. Morgan客户和第三方员工的信息。D.W. Morgan bucket中邪路的敏感客户数据和雇员个人身份信息包括：

订购的商品

商品的订购价格

运输地址

账单地址

发票日期

第三方雇员全名

第三方雇员手机号码

第三方雇员邮箱地址

还有2个数据集中的文件目前还没有确定是属于谁。

Bucket中还有签名。虽然没有关于签名的其他信息，但推测这些签名与货物取件/卸货有关。其中泄露了 DW Morgan 的员工或其客户。研究人员在bucket中发现了超过 150 万个此类文件，暴露的签名有：

签名（书面，未扫描）

全名，可在某些签名中识别

DW Morgan 的Amazon S3 bucket仍处于活动状态并正在更新。研究人员在bucket中发现了 2013 年至 2021 年末的文件。

亚马逊不负责 DW Morgan  bucket的管理，因此，对此次数据泄露没有责任。