Доступ к 2,5 млн файлов с данными сотрудников и клиентов D.W. Morgan, включая Ericsson и Cisco, мог получить кто угодно.
https://www.securitylab.ru/upload/ib...a5d9242da0.jpg
Исследователи безопасности из Website Planet Security Team обнаружили некорректно сконфигурированный бакет Amazon S3, принадлежащий американскому логистическому гиганту D.W. Morgan.
База данных содержит более 100 ГБ данных – свыше 2,5 млн файлов с финансовой информацией, данными по доставке и транспортировке, персональными и конфиденциальными записями сотрудников и клиентов D.W. Morgan по всему миру, включая компанию Ericsson из списка Global 500 и Cisco из Fortune 500.
Бакет Amazon S3 не был защищен паролем, поэтому любой, кто знаком с принципом работы AWS, мог получить доступ к следующим данным: подписям, полным именам, вложениям, телефонным номерам, заказанным товарам, сведениям о поврежденных грузах, фотографиям, адресам биллинга и доставки, датам накладных, штрих-кодам доставки, местоположению предприятий, стоимости оплаченных товаров, изображениям внутренних документов, а также планам и соглашениям о транспортировке.
На скриншоте ниже представлена накладная на сумму $350 тыс., выданная D.W. Morgan компанией Cisco.
https://www.securitylab.ru/upload/me...55d99384af.jpg
Обнаружив незащищенную базу данных, специалисты незамедлительно связались с D.W. Morgan, и компания обезопасила ее в течение четырех дней. Получили ли доступ к бакету посторонние, неизвестно. Клиентам логистического гиганта рекомендуется проявлять бдительность и быть готовыми к фишингу и спам-атакам.