聽說過 MBM 公司的名頭嗎?恐怕瞭解的人不多,不過 Limogés Jewelry 這一珠寶電商品牌可能你會有所耳聞,而它就是 MBM 公司旗下的一個品牌。看到這裡你可能會想,我是不是走錯房間了?當然不是,今天雷鋒網要講的這起信息洩露事件就與該珠寶電商品牌有關。
Limogés Jewelry 客戶信息洩露,130 萬人受影響
MBM 公司上了頭條可不是因為新品大賣,而是被德國安全公司 Kromtech Security 的研究人員抓住了小辮子。研究人員在不安全的亞馬遜 S3 存儲桶中發現了該公司的 MSSQL 數據庫備份文件。Kromtech 的安全研究團隊相信,在處理客戶數據上,MBM 公司可一點也不上心。
最初,研究者懷疑這些數據歸沃爾瑪所有,因為這個存儲桶被命名為“walmartsql”,不過後來他們通過分析後發現,這些數據的主人其實是 MBM 公司。
密碼居然用明文保存
Kromtech Security 公司通訊負責人 Bob Diachenko 透露稱,在對洩露文檔作了進一步評估後他們發現,這裡容納了超過 130 萬人(準確來說是 1314193 人)的私人敏感數據。
這些數據包含個人住址、email 地址、IP 地址和郵政編碼,許多客戶的密碼甚至直接用明文顯示,毫無安全性可言。不過,更惡劣的還在下面,這份文檔還包含了內部郵件列表、優惠碼和項目訂單。在 Bob Diachenko 看來,這是 MBM 公司的嚴重失職。
遭曝光數據的截屏
“密碼居然直接用明文保存,這也太大意了。鑑於許多用戶在不同平臺上都使用相同密碼,其後果會相當嚴重。”Diachenko 在一份聲明中寫道。
存在問題的備份文檔名為“MBMWEB_backup_2018_01_13_003008_2864410.bak”,研究人員已經確認,它生成與今年 1 月 13 日。數據庫包含了該公司美國和加拿大的客戶信息,文檔裡還有更新信息,意味著這是新鮮出爐的數據。雖然該數據庫存儲的大多數是 2018 年初的數據,但研究人員還發現了 2000 年時的用戶記錄。專家認為,這可能是 MBM 公司的主數據庫。
Diachenko 強調了此次事件的嚴重程度,稱 MBM 需要嚴肅對待。總結現有消息我們也可得出一個結論:MBM 公司平時的安全防禦工作太失敗了。舉例來說,它們居然給了存儲桶一個非常容易猜到的名字,S3 域名也太過平常,即使普通用戶也能用網上的掃描工具對其進行破解。
此外,密碼以明文形式出現也讓人分開,這相當於直接扒了用戶的底褲。
眼下,我們尚不清楚該數據庫是否已被惡意第三方光顧,畢竟壞人的勒索信還沒露面。不過,我們也不能肯定的說這個大漏洞只有 Kromtech Security 公司的人發現。
此前,不安全的亞馬遜 S3 存儲桶就讓許多主流公司中招,雖然對存儲桶做個正確的安全認證並不困難。除了 MBM,包括聯邦快遞、Alteryx 和 RNC 在內的公司都因為在安全上疏忽大意吃過虧。
安全專家支招稱,在使用該技術前,各家公司得先讓自己熟悉一些安全基礎技能,直接把敏感信息存入一個向公眾開放的存儲桶可不是什麼高明的決定,沒有對密碼進行加密更是不可饒恕。
Kromtech Security 的研究人員還因為此事提醒了沃爾瑪,零售巨頭立即對其進行了修復。不過截至發文前,MBM 依舊沒有做出任何反應。雷鋒網將持續關注此事。
雷鋒網AVI hackread
閱讀更多 雷鋒網 的文章
