Утечка данных покупателей через незащищенное хранилище Amazon

Утечка данных покупателей через незащищенное хранилище Amazon


За прошедший год произошло большое количество утечек, вызванных незащищенными хранилищами Amazon S3. В результате было похищено огромное количество данных о различных организациях. Совсем недавно это коснулось даже секретных данных армии США и АНБ.

По словам исследователей безопасности, в очередной раз обнаруживших три открытых хранилища AWS, платформа July System используется несколькими известными компаниями, включая CNN, ESPN, Intel, Toys “R” Us, CBS, Fox и NBC Universal.

Proximity MX от July System отслеживает поведение потребителей, в частности их траты. Платформа позволяет клиентам компании привлекать потребителей к соответствующим предложениям и рекламным акциям.

Данные содержат учетные записи безопасности для приложений iPhone/Android и репозитория, которые потенциально могут позволить кому-либо получить доступ к персональным данным клиента и трекинга, а также внутренние сборки и средства разработки для различных клиентов, включая NFL, CBS, Amex, NBA, FOX, PGA и другие.

Все три хранилища являются частью одной экосистемы, называемой EMSP. EMSP — это платформа Enterprise Mobility Services Platform, которая может получать ценную информацию о клиентах и персонализировать мобильных пользователей, используя Wi-Fi-сеть.

В базах данных также были представлены файлы с именами и брендами, такими как Katy Perry, NFL, NBA

В одной из папок содержались более 1000 имен пользователей и паролей менеджеров Unilever в Индии.

Реальная проблема заключаются в том, что обнаруженное является частью гораздо более крупной инфраструктуры и утекшие пароли могли быть использованы киберпреступниками для доступа к ее защищенным областям.

Инцидент скорее всего был вызван «человеческой ошибкой» — несколько хранилищ S3 были доступны без паролей.

Возникает вопрос, неужели прошлые утечки ничему не научили специалистов ИТ и ИБ? Или нет желания учиться или нет знаний, непонятно. А куда смотрит руководство соответствующих компаний?

Подводя итоги можно указать на то, что снова самым слабым звеном оказывается человек. Увы, стоит отметить крайне слабый уровень подготовки специалистов. Причина вполне понятна. Систем становится все больше и больше, а грамотных специалистов все меньше и меньше.

Автор: Владимир Безмалый

Alt text

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться

Владимир Безмалый

О безопасности и не только