又一桩AWS设定错误外包商出包让至少600万Verizon用户资料曝光

示意图，与新闻事件无关。

Verizon

安全公司UpGuard发现，美国电信公司Verizon因外包商在Amazon Web Service (AWS)的云端储存服务设定错误，导致至少600万用户包括姓名、住家地址及帐密有公开被看光的风险。
 
这项重大资料外洩风险事件是由UpGuard的网路风险因应小组（Cyber Risk Team）研究员Chris Vickery首先发现。他在AWS S3发现一个组态错误的档案库，发现Verizon用户资料。这个档案库隶属于Verizon负责电话软体及资料处理的外包商NICE Systems，该公司基于特定业务，建立了2017年1月到6月的客户资料夹。由于设定疏失，只要输入S3 档案库的URL，就能将所有资料全部下载下来。
 
Vickery在6月13日发资料外洩后，立即通知Verizon及相关单位，不过直到6月22日Verizon方面才採取防护措施。
 
研究人员估计这个档案库内有1,400万笔Verizon用户资料，而除了Verizon的用户资料外，这个档案库中的法文文字档还包含NICE Systems另一家电信业客户Orange的内部资料。 Verizon稍后向CNN证实确有此事，不过该公司表示数量只有600万笔。
 
曝光的资料包括用户姓名、住家地址、Verizon帐号及验证密码(PIN)、电话号码等。研究人员指出，一旦PIN外洩后果相当严重，可使歹徒假冒用户身分骗Verizon客服修改帐号资料，或是突破许多网站常用的双因素验证后进入Verizon网站变更、删改或窃取帐户资料。
 
这是近来最新一宗AWS服务设定不当致机密资料外洩事件。仅仅在上个月，同一名分析师已经分别揭露美国军方将军事卫星资料储存在未加密的资料匣及政府机关差点洩露2亿选民资料，后者并创下美国有史以来最大规模选民资料外洩的纪录。