珠宝网站意外泄露了130万用户的个人信息(和明文密码!)技术新闻

2018-05-12

很少有人熟悉芝加哥的MBM公司,但也许你可能熟悉珠宝品牌Limogés Jewelry。该公司通过其网站向全美国和加拿大的客户销售降价饰品。

来自德国安全公司Kromtech Security的研究人员称,直到最近,MBM公司都不正确地处理客户细节。 2月6日,他们确定了一个不安全的Amazon S3存储桶,其中包含一个MSSQL数据库备份文件。

根据Kromtech Security的通信主管Bob Diachenko对该文件的进一步分析显示,该文件为超过130万人提供了个人信息。这包括地址,邮政编码,电子邮件地址和IP地址。他还声称该数据库包含明文密码 - 这是一个很大的安全性“禁止否。 ”

Diachenko在新闻发布会上表示:“密码以纯文本形式存储,这是很大的疏忽[原文如此],考虑到许多用户重复使用包括电子邮件账户在内的多个账户密码的问题。 ”

备份文件名为'MBMWEB_backup _ 2018 _ 01 _ 13 _ 003008 _ 2864410。 bak“,这表明该文件是在2018年1月13日创建的。它被认为包含有关公司客户的最新信息。数据库中记录的日期可以追溯到2000年。最新的记录是从今年开始的。

数据库中的其他记录包括内部邮件列表,促销代码和项目订单,这使Kromtech相信这可能是公司的主要客户数据库。

TNW今天早些时候对Diachenko说。当被要求将这一事件的严重性置于上下文中时,他说:“我认为这是一个相当严重的事件,因为许多因素。首先,[它]有一个相当'容易猜到'的存储桶名称,这为有人已经看到数据打开了很大的可能性。有这么多的在线扫描工具,很有可能这种“大品牌和普通后缀”S3域名的组合出现在某人的雷达上。 ”

值得注意的是,没有证据表明有恶意的第三方访问转储。迪琴科表示,Kromtech的研究人员没有注意到任何赎金笔记,这些笔记经常出现在受损的MongoDB和CouchDB数据库中。不过,他补充说,“这并不意味着没有人访问过这些数据。 ”

Diachenko还担心数据文件中存在明文密码。 “很多用户都在重复使用包括电子邮件帐户在内的多个帐户的密码,”他说。

根据Diachenko的说法,MBM公司未能对Kromtech的研究人员做出回应,而是悄然保护亚马逊S3存储桶。

Amazon S3存储库受到的不当保护已经吸引了很多安全SNAFU的大牌公司。尽管向存储桶添加适当的身份验证非常容易,但联邦快递,网络分析公司Alteryx,RNC承包商Deep Root和芝加哥市等机构都已经陷入了困境。

Diachenko建议任何想要使用该技术的人首先熟悉它的安全基础知识。对于那些最近购买了廉价地下室订婚戒指的人来说,他建议他们更改密码,并注册特洛伊亨特的“你有没有被用过”。

沃尔玛珠宝合作伙伴在Kromtech Security上公布了130万客户的详细信息