无密码的 AWS S3 泄露了「福特、Netflix、TD银行」的数据 – 运维派

公开的数据包括生产系统的密码和私钥、员工详细信息、销售信息。

为世界上最大的公司提供数据管理、仓储和复制服务的以色列IT公司Attunity，在没有密码的情况下将三个Amazon S3存储桶暴露在互联网上之后，公开了一些客户的数据。

泄露的AWS S3存储桶中包含了Attunity自身运营的信息，也有来自它的一些客户的数据——财富100强企业，如福特（Ford）Netflix和TD银行（TD Bank）。

由于数据泄露追踪公司UpGuard的工作，泄漏的S3存储桶于5月13日被发现，并在三天后得到了保护。

公开的信息包括员工OneDrive账户的备份、电子邮件通信、系统密码、生产系统专用密钥、销售及市场联络资料、项目规范、员工个人资料等。

例如，UpGuard的研究人员发现Netflix生产数据库系统的用户名和密码，TD银行内部软件员工使用的发票，以及福特的各种内部项目文件。

泄露：Netflix DB证书；图片：UpGuard

其他信息包括匿名公司员工之间的电子邮件通信，其中包含工作账户或生产系统的密码。

备份文件还包含大量公司内部网络的私钥和密码。

除了Netflix外，Attunity公司的内部系统认证被曝光，这意味着泄漏的S3服务器可以作为一个跳板，对Attunity的网络进行更大规模的攻击。

UpGuard研究人员在昨日发表的一份报告中（https://www.upguard.com/breaches/attunity-data-leak）表示：“在Attunity数据集中的许多地方都可以找到系统凭据，这有助于提醒人们，这些信息可能会如何存储在一个组织的数字资产中。”

毫无疑问，由于此次泄露规模巨大，并提供了有用的信息，可能导致一些全球最大的公司遭到入侵。根据Attunity的网站，该公司有一份名人录。

除了公司IT系统上的数据，S3存储桶还包含存储员工个人数据的文件。UpGuard说，Attunity是泄露员工数据的公司之一。

但UpGuard的研究人员表示，这只是他们从公开的Attunity S3存储桶中下载的1TB样本数据的表面，泄漏的服务器可能包含更多数据。

最近收购了Attunity的Qlik公司表示仍在调查泄露数据的程度。

原文链接：

https://www.zdnet.com/article/aws-s3-server-leaks-data-from-fortune-100-companies-ford-netflix-td