FormGet安全失效暴露了數(shù)千個敏感的用戶上傳文件

FormGet自稱是一家位于印度博帕爾的在線表格制作商和電子郵件營銷公司。該公司允許其43,000名客戶創(chuàng)建在線表格，以便其他人可以提交簡歷或申請工作，或提供地址或工作證明，在線購買商品等。我們怎么知道?因為該公司將其中一個云存儲服務(wù)器保持在線并且沒有密碼而暴露在外。一位匿名安全研究人員發(fā)現(xiàn)了FormGet公開的Amazon S3存儲桶，并告知TechCrunch希望獲得數(shù)據(jù)安全。FormGet在我們于周三聯(lián)系該公司后一夜之間將該桶拉下線。但該公司的創(chuàng)始人兼首席執(zhí)行官Neeraj Agarwal沒有回復(fù)幾封要求置評的電子郵件和后續(xù)行動。

存儲桶中包含數(shù)十萬個文件和文檔。存儲桶每年都有一個文件夾，其歷史可以追溯到2013年，每個月都包含子文件夾，其中包含用戶上傳的文檔。

我們審核的部分文件包含高度敏感的信息，包括：

掃描幾本護(hù)照 - 包括美國護(hù)照 - 和其他掃描文件，如支票，社會安全號碼，駕駛執(zhí)照，國民身份證等;

退伍軍人事務(wù)部的信件，證明前服務(wù)連接殘疾補(bǔ)償?shù)耐宋檐娙?，包括支付的金額;

獲得的貸款和抵押的詳情，包括金額，利率和歷史，以及銀行賬戶報表，燃?xì)赓~單，現(xiàn)役表格的軍事排放和其他類似的居住證明;

文件1

在公開的服務(wù)器上找到的幾個居住證明文件，包括銀行和貸款聲明(圖片：TechCrunch)

一些內(nèi)部公司文件，包括標(biāo)有“機(jī)密”和“僅供內(nèi)部使用”的幾家銀行和金融機(jī)構(gòu)的網(wǎng)絡(luò)安全評估摘要;

UPS運(yùn)輸標(biāo)簽，包括姓名和電話號碼以及運(yùn)輸內(nèi)容;

護(hù)照

FormGet公開的許多文件的兩本護(hù)照(圖片：TechCrunch)

簡歷，包括姓名，郵政和電子郵件地址，電話號碼，教育背景和工作經(jīng)歷;

來自Google，Zoom甚至FormGet本身的發(fā)票，用于結(jié)算服務(wù) - 在某些情況下包括姓名，地址和部分信用卡號碼;

和幾個航空公司和酒店預(yù)訂收據(jù)。

這些類型的數(shù)據(jù)暴露 - 私人數(shù)據(jù)被錯誤公開 - 多年來已經(jīng)成為一個常見的安全問題。有幾種無意的數(shù)據(jù)泄露事件將存儲服務(wù)器權(quán)限更改為公共。今年早些時候，數(shù)以百萬計的抵押文件被曝光。在類似的數(shù)據(jù)泄漏中，刮掉的Facebook數(shù)據(jù)也被搶購一空。去年，由于配置錯誤，整個華盛頓州的互聯(lián)網(wǎng)提供商都將其“關(guān)鍵王國”暴露出來。

雖然公司經(jīng)常將人為錯誤暴露出來，但事實上，無意中將私有云數(shù)據(jù)公之于眾。

一位高級云安全工程師在TechCrunch的背景下發(fā)言說，主要的云服務(wù)在默認(rèn)情況下努力保持?jǐn)?shù)據(jù)安全。

“就亞馬遜而言，S3存儲桶的默認(rèn)設(shè)置是私有的 - 不允許直接未經(jīng)授權(quán)的互聯(lián)網(wǎng)訪問，”工程師說。亞馬遜還提供免費(fèi)工具，用于掃描用戶的云基礎(chǔ)架構(gòu)以查找錯誤配置。

“當(dāng)大量泄密的消息中有這些報道時，將責(zé)任歸咎于云提供商變得越來越困難，”工程師說。“在過去幾年的任何安裝中，開發(fā)人員都不得不竭盡全力揭露這些記錄。”

“一旦一個組織以這種非常疏忽的方式泄露數(shù)據(jù)，他們幾乎沒有責(zé)備自己，”工程師說。