aws s3再出问题 本田印度50000客户的详细数据被泄露-k8凯发游戏

亚马逊aws s3，这次又出事了!

据国外媒体bleepingcomputer报道，kromtech security发布的报告称，本田汽车印度公司把超过50000名用户的个人详细信息暴露在了两个公共amazon s3服务器中。

据悉，这两个aws bucket包含本田汽车印度公司开发的移动应用程序honda connect用户的个人详细信息。

本田connect是远程汽车管理应用程序，用户可以操作他们的本田智能汽车，也可以与本田汽车印度公司提供的服务进行预约和互动。

s3 buckets泄露了用户姓名、密码、车辆识别码以及其他信息

例如，随着时间线，这款应用会收集和存储有关本田印度用户和他们汽车的大量数据。

kromtech security的研究者bob diachenko发现了泄露的情况，并且联系本田，表示服务器包含了下列类型的用户和车辆信息：

姓名

用户性别

用户手机号码和受信赖的联系人电话

用户邮件地址和受信赖的联系人邮件地址

账户密码

车辆识别码

车辆连接id和其他信息

但是，diachenko并不是第一个发现本田印度s3 bucket的泄露人员。diachenko说，当他来到这个已经暴露的“地方”，他们已经包含一个“poc.txt”的文件夹，有以下信息：

这是一个自动的文件夹，由安全研究者robbie wiggins创建。近一年来，wiggins一直在扫描互联网上的aws s3 buckets，并把这些信息留在不安全的服务器上。他一直这么做，以警告服务器所有者，并督促他们有人劫持或盗窃他们的数据之前，好好保护自己的服务器。

diachenko说，他看到wiggins时间是在今年2月28日，距离现在3个月过几天。

“本田汽车印度的人员并没有注意到安全研究人员在它们buckets上留下的信息，” diachenko说。“这没有任何借口，它清晰地说明了它们只是在没有监控的情况下以自动驾驶运行。”

与此同时，kromtech研究人员亲自向本田汽车印度通报了他们现在获得安全保护的s3 bucket。

实际上，近年来，亚马逊aws s3 bucket出事不少。在3月份，沃尔玛珠宝k8凯发游戏的合作伙伴mbm公司130万客户的个人数据被曝光和去年发生的mongdb实例事件。

根据安全公司 skyhigh networks 的统计数据显示，7%的 amazon s3 bucket 都未做公开访问的限制，35%的 bucket 都未做加密，这意味着整个 amazon s3 服务器中都普遍存在这样的问题。