在线 PDF 制作工具泄露数万份用户文件

两家在线 PDF 制造商泄露了数以万计的用户文件,其中包括用户护照、驾驶执照、证书和上传的其他个人信息。

随着我们对快速制作 PDF 和提交表格的需求越来越大,市面上出现了很多在线 PDF 制作商,但被这些服务商获取的用户数据真的安全吗?Cybernews 研究小组发现,PDF Pro 和 Help PDF 这两家在线 PDF 制作商泄露了共 89000 多份文件。

目前为止,暴露的 Amazon S3 存储桶呈开放状态,任何人都能够获取其中的数据。此外,用户仍在持续上传文档,对其个人数据正在发生泄露并不知情。

严重的安全风险

PDF Pro(pdf-pro.io)和 Help PDF(help-pdf.com)似乎是由同一个英国法律实体运营的,且采用了相同的设计。它们向用户提供 PDF 转换工具、压缩工具、编辑工具及签署文档的选项。

据该团队称,暴露的内容包含用户上传的文档。截至目前,暴露的文件总数为 89062 个,其中 87818 个通过 PDF Pro 上传,1244 个通过 Help PDF 上传。

文件中包含大量敏感信息,其中包括:

  1. 护照
  2. 驾照
  3. 证书
  4. 合同
  5. 其他文件和信息

研究人员说道:“犯罪分子在获得个人文件后,可以利用受害者的身份从事各种欺诈活动,如申请贷款、租赁房产或购买昂贵物品。”

此外,黑客还可以篡改或伪造合同或执照等文件,从而创建虚假身份、捏造资质或操纵法律协议,以此为自己谋利,并可能给受害者带来法律问题。

对此,该团队提供了几条防范此类事件再次发生的建议:

  1. 立即限制公众对信息桶的访问
  2. 更改数据桶策略和访问控制列表 (ACL),限制授权用户或应用程序的访问权限
  3. 确保数据桶中的所有对象都设置为私有或配置了适当的访问控制
  4. 在数据桶上启用服务器端加密,以保护静态数据。管理员可根据需求选择 SSE-S3、SSE-KMS 或 SSE-C

消息来源:cybernews,译者:lune;  

本文由 HackerNews.cc 翻译整理,封面来源于网络;  

转载请注明“转自 HackerNews.cc”并附上原文

© 版权声明
THE END
你的支持是我们在网空安全路上的驱动力!
点赞10 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码

    暂无评论内容