美国物流公司100G数据泄露,涉财富500强公司 - 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体,4hou.com

美国物流公司100G数据泄露,涉财富500强公司

ang010ela 事件 2022-01-01 11:45:00
收藏

导语:美国物流公司100G数据泄露,涉财富500强公司。

美国物流公司100G数据泄露,涉财富500强公司。

Website Planet安全研究人员发现一家位于美国的跨国供应链管理和物流公司D.W. Morgan发生数据泄露事件。D.W. Morgan公司所有的一个Amazon S3 bucket被发现没有授权控制机制,暴露了与运输和公司客户相关的敏感数据。泄露的数据总量超过100GB,涉及250万个文件。这些泄露的数据所涉及的企业遍布全球,其中不乏财富500强企业。

研究人员在该bucket中发现里个不同的数据集,每个数据集都保存在对应的文件夹中。其中3个数据集包含敏感的客户数据和雇员个人身份信息:

运输计划和协议;

过程照片;

附件。

dwmorgan_report

Cisco的发货程序

dwmorgan_report

Life technology的发货程序

其中2个数据集暴露了个人身份信息和敏感数据,但没有具体到个人:

签名;

未知文件。

运输计划和协议中列出了泄露的客户的运输计划的每一步。相关信息中包含司机、仓库职员和安保人员的信息。其中有150个文件暴露了敏感的客户数据和雇员个人身份信息:

过程详情,包括货物上船、运输和安全的具体过程;

客户设施的位置;

客户、第三方和D.W. Morgan雇员的全名;


dwmorgan_report

客户、第三方和D.W. Morgan雇员的手机号码和办公电话;

客户、第三方和D.W. Morgan雇员的邮箱地址;

运输过程的过程照片。这些照片是雇员拍摄以与D.W. Morgan的标准操作流程一致。Bucket中有超过80万个文件,其中40万个文件是唯一的。这些文件中暴露了敏感的客户数据,包括:

现场文件的图像;

dwmorgan_report

货物损毁的情况;

dwmorgan_report

出货照片;

包装标签照片。

附件中包含发票、运输标签和装箱单。这些文件中包含D.W. Morgan客户和第三方员工的信息。D.W. Morgan bucket中邪路的敏感客户数据和雇员个人身份信息包括:

dwmorgan_report

订购的商品

商品的订购价格

运输地址

账单地址

发票日期

第三方雇员全名

第三方雇员手机号码

第三方雇员邮箱地址

dwmorgan_report

还有2个数据集中的文件目前还没有确定是属于谁。

dwmorgan_report

Bucket中还有签名。虽然没有关于签名的其他信息,但推测这些签名与货物取件/卸货有关。其中泄露了 DW Morgan 的员工或其客户。研究人员在bucket中发现了超过 150 万个此类文件,暴露的签名有:

签名(书面,未扫描)

dwmorgan_report

全名,可在某些签名中识别

DW Morgan 的Amazon S3 bucket仍处于活动状态并正在更新。研究人员在bucket中发现了 2013 年至 2021 年末的文件。

亚马逊不负责 DW Morgan  bucket的管理,因此,对此次数据泄露没有责任。

本文翻译自:https://www.websiteplanet.com/blog/dwmorgan-leak-report/如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论