泰國最大的4G移動運營商TrueMove H遭遇數(shù)據(jù)泄露

泰國最大的4G移動運營商TrueMove H遭遇數(shù)據(jù)泄露，AWS上46000人數(shù)據(jù)被直接曝光在網(wǎng)上，包括駕駛執(zhí)照和護照等信息。

運營商向在線客戶公開存儲在亞馬遜AWS S3存儲桶中的個人數(shù)據(jù)。泄露的數(shù)據(jù)還包括身份證件的掃描，數(shù)據(jù)一直保留至4月12日，當時該公司限制訪問。

安全研究人員Niall Merrigan發(fā)現(xiàn)了大量數(shù)據(jù)，試圖將此問題告知TrueMove H，但運營商沒有回應。Merrigan透露，該AWS存儲桶包含總計32GB的46,000條記錄。

專家發(fā)表了一篇關于該案例的博客文章，他解釋說，像bucket stream 和bucket-finder這樣的工具，可以掃描互聯(lián)網(wǎng)上的開放S3 AWS buckers。

當Merrigan 注意到屬于TrueMove H的那個時，他使用bucket-finder工具找到開放的S3存儲桶。

“bucket-finder的輸出顯示了幾個問題，例如配置文件，源代碼和其他可能的信息披露。bucket-finder只能通過AWS S3 API獲取前1000個文件。為了簡化，我將結果加載到一個小型SQL數(shù)據(jù)庫中進行分析。我發(fā)現(xiàn)了所有擁有1000個文件的網(wǎng)站，并且進行了快速的視覺掃描，看看它們包含了什么，以及是否有方法識別擁有者�！� 專家寫道。

在媒體曝光之后，TrueMove H發(fā)布了一份聲明，澄清數(shù)據(jù)泄漏影響了其子公司I True Mart。

一位法律專家表示，TrueMove H可能面臨數(shù)據(jù)泄露的懲罰，而安全專家呼吁電信運營商開始引入更完善的數(shù)據(jù)保護措施。（編譯/Andy）