由于錯(cuò)誤配置的亞馬遜云服務(wù)S3存儲(chǔ)桶，數(shù)百萬(wàn)Verizon客戶個(gè)人數(shù)據(jù)被泄漏。

據(jù)稱，安全公司UpGuard研究人員發(fā)現(xiàn)一個(gè)存儲(chǔ)庫(kù)，其中包含美國(guó)1400萬(wàn)Verizon客戶的姓名、地址、賬戶詳細(xì)信息以及賬號(hào)PIN。該AWS S3存儲(chǔ)桶由Verizon第三方供應(yīng)商N(yùn)ice Systems擁有以及運(yùn)行，該公司負(fù)責(zé)幫Verizon處理其后臺(tái)和呼叫中心運(yùn)營(yíng)。

UpGuard公司網(wǎng)絡(luò)風(fēng)險(xiǎn)分析師Chris Vickery在2017年6月8日發(fā)現(xiàn)該AWS S3存儲(chǔ)桶，并在6月13日通知了Verizon。Vickery發(fā)現(xiàn)該存儲(chǔ)庫(kù)“完全可下載并可配置為允許公共訪問”，這意味著攻擊者只需要“簡(jiǎn)單猜測(cè)”該AWS S3存儲(chǔ)桶的URL即可訪問“TB級(jí)”Verizon客戶數(shù)據(jù)。

在一篇博客文章中，Vickery和UpGuard網(wǎng)絡(luò)靈活性分析師Dan O'Sullivan指出，Verizon公司在收到通知的一個(gè)多星期后，在6月22日才修復(fù)該泄漏問題，他們批評(píng)Verizon公司花了這么長(zhǎng)時(shí)間，“在6月13日最初通知到Verizon，而在6月22日最終修復(fù)泄漏問題，這個(gè)時(shí)間間隔令人感到不安”。

第三方供應(yīng)商風(fēng)險(xiǎn)就是企業(yè)風(fēng)險(xiǎn)；對(duì)敏感企業(yè)數(shù)據(jù)的共享訪問不會(huì)降低這種風(fēng)險(xiǎn)，而會(huì)將風(fēng)險(xiǎn)擴(kuò)展到合約伙伴，使云端泄漏跨越多個(gè)大陸，并牽連多個(gè)企業(yè)。

Vickery報(bào)告稱，1400萬(wàn)用戶的數(shù)據(jù)遭暴露，但Verizon公司發(fā)言人稱只有600萬(wàn)用戶。不過，無(wú)論多少客戶的數(shù)據(jù)被泄漏，目前還沒有報(bào)告表明攻擊者實(shí)際訪問了這些數(shù)據(jù)。

在AWS S3存儲(chǔ)桶泄漏的個(gè)人數(shù)據(jù)中包括客戶名稱、地址和電話號(hào)碼，在該開放存儲(chǔ)庫(kù)中還包含客戶滿意度跟蹤數(shù)據(jù)，即Verizon客戶聯(lián)系呼叫中心獲得支持的相關(guān)信息。另外，客戶用來(lái)通過呼叫中心訪問其賬戶的PIN也列在相關(guān)電話號(hào)碼旁。通過PIN和其他個(gè)人數(shù)據(jù)，攻擊者可控制客戶賬戶。

“攻擊者確實(shí)可能結(jié)合這些信息與內(nèi)部Verizon賬戶PIN來(lái)控制客戶賬戶，”UpGuard稱，“這樣做的話，攻擊者可假冒客戶告訴Verizon呼叫中心做任何事情。”

這樣的信息泄漏帶來(lái)怎樣的影響？

“簡(jiǎn)而言之，Nice Systems是值得信賴的Verizon合作伙伴，但很少有人意識(shí)到他們可隨意訪問其數(shù)據(jù)，”UpGuard稱，“這樣的第三方供應(yīng)商每天都被委托處理客戶敏感個(gè)人信息，但客戶并不知道這種情況。企業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)與該企業(yè)第三方合作伙伴的網(wǎng)絡(luò)風(fēng)險(xiǎn)之間沒有任何差異。在供應(yīng)商方面的數(shù)據(jù)泄漏會(huì)嚴(yán)重影響客戶，也會(huì)讓業(yè)務(wù)利益相關(guān)者造成重大損失，正如企業(yè)自身方面的泄漏事故一樣。”