AWS S3再出问题 本田印度50000客户的详细数据被泄露

  亚马逊AWS S3，这次又出事了!

  据国外媒体bleepingcomputer报道，Kromtech Security发布的报告称，本田汽车印度公司把超过50000名用户的个人详细信息暴露在了两个公共Amazon S3服务器中。

  据悉，这两个AWS bucket包含本田汽车印度公司开发的移动应用程序Honda Connect用户的个人详细信息。

  本田Connect是远程汽车管理应用程序，用户可以操作他们的本田智能汽车，也可以与本田汽车印度公司提供的服务进行预约和互动。

  S3 buckets泄露了用户姓名、密码、车辆识别码以及其他信息

  例如，随着时间线，这款应用会收集和存储有关本田印度用户和他们汽车的大量数据。

  Kromtech security的研究者Bob Diachenko发现了泄露的情况，并且联系本田，表示服务器包含了下列类型的用户和车辆信息：

  姓名

  用户性别

  用户手机号码和受信赖的联系人电话

  用户邮件地址和受信赖的联系人邮件地址

  账户密码

  车辆识别码

  车辆连接ID和其他信息

  但是，Diachenko并不是第一个发现本田印度S3 bucket的泄露人员。Diachenko说，当他来到这个已经暴露的“地方”，他们已经包含一个“poc.txt”的文件夹，有以下信息：

  这是一个自动的文件夹，由安全研究者Robbie Wiggins创建。近一年来，Wiggins一直在扫描互联网上的AWS S3 buckets，并把这些信息留在不安全的服务器上。他一直这么做，以警告服务器所有者，并督促他们有人劫持或盗窃他们的数据之前，好好保护自己的服务器。

  Diachenko说，他看到Wiggins时间是在今年2月28日，距离现在3个月过几天。

  “本田汽车印度的人员并没有注意到安全研究人员在它们buckets上留下的信息，” Diachenko说。“这没有任何借口，它清晰地说明了它们只是在没有监控的情况下以自动驾驶运行。”

  与此同时，Kromtech研究人员亲自向本田汽车印度通报了他们现在获得安全保护的S3 bucket。

  实际上，近年来，亚马逊AWS S3 bucket出事不少。在3月份，沃尔玛珠宝合作伙伴MBM公司130万客户的个人数据被曝光和去年发生的MongDB实例事件。

  根据安全公司 Skyhigh Networks 的统计数据显示，7%的 Amazon S3 bucket 都未做公开访问的限制，35%的 bucket 都未做加密，这意味着整个 Amazon S3 服务器中都普遍存在这样的问题。