據(jù)UpGuard公司網(wǎng)絡(luò)風(fēng)險(xiǎn)研究主任克里斯·維克里披露，他于2017年10月3日發(fā)現(xiàn)美國國家信用聯(lián)合會(huì)National Credit Federation（簡稱NCF）有4.7萬份文件，共111GB數(shù)據(jù)暴露在公開訪問的亞馬遜AWS S3云存儲(chǔ)桶上，字段包括數(shù)萬名客戶的姓名、地址、出生日期、駕駛執(zhí)照、社保號圖片、信用報(bào)告、歷史財(cái)務(wù)狀況、信用卡號和銀行賬號。大多數(shù)文件為PDF和文本文檔。文件的上傳時(shí)間說明，暴露時(shí)間可追溯至2015年6月，暴露超過兩年之久。

這些文件似乎是National Credit Federation整理的客戶信息。按照NCF在官網(wǎng)的描述，最初，NCF代表會(huì)與客戶討論客戶的財(cái)務(wù)狀況，之后評估客戶信用報(bào)告以達(dá)到提高信用的目的。泄露的文件包括3大類：

客戶向NCF提交的有關(guān)個(gè)人信息和財(cái)務(wù)細(xì)節(jié)的文件，以制定“個(gè)性化信用規(guī)劃藍(lán)圖”，包含抵押貸款、信用卡賬單還款情況等信息。

NCF為客戶創(chuàng)建的視頻，描繪了使用屏幕記錄程序記錄的NCF員工電腦桌面，視頻文件似乎專為個(gè)人客戶制作，描述了客戶的個(gè)人識(shí)別信息。

美國征信機(jī)構(gòu)Equifax、Experian和 TransUnion提供給客戶的信用報(bào)告。

如此大量的信息泄露可能造成身份盜竊和財(cái)務(wù)損失風(fēng)險(xiǎn)。暴露的數(shù)據(jù)還包括Equifax、Experian和TransUnion提供的信用報(bào)告，數(shù)據(jù)詳細(xì)到客戶的歷史財(cái)務(wù)狀況。

克里斯·維克里表示，任何用戶可輸入存儲(chǔ)庫的URL訪問并下載所有文件，毫無安全可言。數(shù)據(jù)每天都在更新，有人甚至?xí)葦?shù)據(jù)更新。克里斯·維克里將這一事件描述為一個(gè)“極其不走心的錯(cuò)誤”，因?yàn)橛腥岁P(guān)閉了AWS默認(rèn)設(shè)置。S3存儲(chǔ)桶默認(rèn)設(shè)置為非公開訪問，用戶需通過某些選項(xiàng)設(shè)置為公開訪問。

目前尚不清楚是否還有其他人發(fā)現(xiàn)這些數(shù)據(jù)。按照網(wǎng)絡(luò)安全公司Flashpoint的說法，類似的數(shù)據(jù)在黑市售價(jià)為8美元/人。克里斯·維克里發(fā)現(xiàn)的這些數(shù)據(jù)價(jià)值幾十萬美元。

保守估計(jì)，受這起事件影響的NCF客戶數(shù)量不超過4萬。NCF數(shù)據(jù)泄露再次說明，小中型金融企業(yè)面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)不容小覷。除此之外，數(shù)據(jù)泄露還可能連帶影響多家企業(yè)。存儲(chǔ)高度敏感信息的這類云存儲(chǔ)服務(wù)器暴露事件頻繁發(fā)生，企業(yè)應(yīng)引起高度重視。

此類數(shù)據(jù)泄露事件再次凸顯出企業(yè)在加強(qiáng)網(wǎng)絡(luò)彈性方面面臨著巨大挑戰(zhàn)。UpGuard指出，企業(yè)必須認(rèn)真對待，投入時(shí)間和資源全面了解并控制他們的云存儲(chǔ)服務(wù)系統(tǒng)。