听说过 MBM 公司的名头吗?恐怕了解的人不多,不过 Limogés Jewelry 这一珠宝电商品牌可能你会有所耳闻,而它就是 MBM 公司旗下的一个品牌。看到这里你可能会想,我是不是走错房间了?当然不是,今天雷锋网要讲的这起信息泄露事件就与该珠宝电商品牌有关。
Limogés Jewelry 客户信息泄露,130 万人受影响
MBM 公司上了头条可不是因为新品大卖,而是被德国安全公司 Kromtech Security 的研究人员抓住了小辫子。研究人员在不安全的亚马逊 S3 存储桶中发现了该公司的 MSSQL 数据库备份文件。Kromtech 的安全研究团队相信,在处理客户数据上,MBM 公司可一点也不上心。
最初,研究者怀疑这些数据归沃尔玛所有,因为这个存储桶被命名为“walmartsql”,不过后来他们通过分析后发现,这些数据的主人其实是 MBM 公司。
密码居然用明文保存
Kromtech Security 公司通讯负责人 Bob Diachenko 透露称,在对泄露文档作了进一步评估后他们发现,这里容纳了超过 130 万人(准确来说是 1314193 人)的私人敏感数据。
这些数据包含个人住址、email 地址、IP 地址和邮政编码,许多客户的密码甚至直接用明文显示,毫无安全性可言。不过,更恶劣的还在下面,这份文档还包含了内部邮件列表、优惠码和项目订单。在 Bob Diachenko 看来,这是 MBM 公司的严重失职。
遭曝光数据的截屏
“密码居然直接用明文保存,这也太大意了。鉴于许多用户在不同平台上都使用相同密码,其后果会相当严重。”Diachenko 在一份声明中写道。
存在问题的备份文档名为“MBMWEB_backup_2018_01_13_003008_2864410.bak”,研究人员已经确认,它生成与今年 1 月 13 日。数据库包含了该公司美国和加拿大的客户信息,文档里还有更新信息,意味着这是新鲜出炉的数据。虽然该数据库存储的大多数是 2018 年初的数据,但研究人员还发现了 2000 年时的用户记录。专家认为,这可能是 MBM 公司的主数据库。
Diachenko 强调了此次事件的严重程度,称 MBM 需要严肃对待。总结现有消息我们也可得出一个结论:MBM 公司平时的安全防御工作太失败了。举例来说,它们居然给了存储桶一个非常容易猜到的名字,S3 域名也太过平常,即使普通用户也能用网上的扫描工具对其进行破解。
此外,密码以明文形式出现也让人分开,这相当于直接扒了用户的底裤。
眼下,我们尚不清楚该数据库是否已被恶意第三方光顾,毕竟坏人的勒索信还没露面。不过,我们也不能肯定的说这个大漏洞只有 Kromtech Security 公司的人发现。
此前,不安全的亚马逊 S3 存储桶就让许多主流公司中招,虽然对存储桶做个正确的安全认证并不困难。除了 MBM,包括联邦快递、Alteryx 和 RNC 在内的公司都因为在安全上疏忽大意吃过亏。
安全专家支招称,在使用该技术前,各家公司得先让自己熟悉一些安全基础技能,直接把敏感信息存入一个向公众开放的存储桶可不是什么高明的决定,没有对密码进行加密更是不可饶恕。
Kromtech Security 的研究人员还因为此事提醒了沃尔玛,零售巨头立即对其进行了修复。不过截至发文前,MBM 依旧没有做出任何反应。雷锋网将持续关注此事。
雷锋网AVI hackread
閱讀更多 雷鋒網 的文章