两家在线 PDF 制造商泄露了数以万计的用户文件,其中包括用户护照、驾驶执照、证书和上传的其他个人信息。
随着我们对快速制作 PDF 和提交表格的需求越来越大,市面上出现了很多在线 PDF 制作商,但被这些服务商获取的用户数据真的安全吗?Cybernews 研究小组发现,PDF Pro 和 Help PDF 这两家在线 PDF 制作商泄露了共 89000 多份文件。
目前为止,暴露的 Amazon S3 存储桶呈开放状态,任何人都能够获取其中的数据。此外,用户仍在持续上传文档,对其个人数据正在发生泄露并不知情。
严重的安全风险
PDF Pro(pdf-pro.io)和 Help PDF(help-pdf.com)似乎是由同一个英国法律实体运营的,且采用了相同的设计。它们向用户提供 PDF 转换工具、压缩工具、编辑工具及签署文档的选项。
据该团队称,暴露的内容包含用户上传的文档。截至目前,暴露的文件总数为 89062 个,其中 87818 个通过 PDF Pro 上传,1244 个通过 Help PDF 上传。
文件中包含大量敏感信息,其中包括:
- 护照
- 驾照
- 证书
- 合同
- 其他文件和信息
研究人员说道:“犯罪分子在获得个人文件后,可以利用受害者的身份从事各种欺诈活动,如申请贷款、租赁房产或购买昂贵物品。”
此外,黑客还可以篡改或伪造合同或执照等文件,从而创建虚假身份、捏造资质或操纵法律协议,以此为自己谋利,并可能给受害者带来法律问题。
对此,该团队提供了几条防范此类事件再次发生的建议:
- 立即限制公众对信息桶的访问
- 更改数据桶策略和访问控制列表 (ACL),限制授权用户或应用程序的访问权限
- 确保数据桶中的所有对象都设置为私有或配置了适当的访问控制
- 在数据桶上启用服务器端加密,以保护静态数据。管理员可根据需求选择 SSE-S3、SSE-KMS 或 SSE-C
消息来源:cybernews,译者:lune;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
暂无评论内容