包含分析行业上市公司 Alteryx 敏感数据的一个亚马逊网服务 S3 云存储桶遭暴露,导致1.23亿美国家庭的个人信息遭泄露。

 

Alteryx公司合作伙伴的数据遭暴露

位于加利福尼亚州的网络安全公司 UpGuard 发现了这个位于子域 “alteryxdownload” 上的S3存储桶。安全团队在2017年10月6日发现泄露事件。

UpGuard 公司指出,被暴露库中的数据属于 Alteryx 合作伙伴的数据集、消费者征信机构 Experian和美国人口普查局。Experian的 ConsumerView 营销数据库和 2010年美国人口普查局的全部数据集均遭暴露。

被泄数据文件大小是36 GB,名称是 “ConsumerView_10_2013”,其中包含超过1.23亿行数据,而每行数据都代表一个美国家庭的情况。UpGuard 公司还在美国共和党国民委员会使用的一家数据公司编译的数据集中发现了1.98亿美国选民的个人详情。

为了说明这次事件的波及范围,UpGuard 公司表示被暴露数据包含超过35亿份个人可识别详情的字段和每个美国家庭的数据信息,包括家庭的种族和民族信息。研究人员表示,虽然这份表单使用了匿名标识符,但其它数十亿字段中的信息非常详细。

 

被泄数据内容繁多,任意用户可下载

被泄数据包括家庭住址、联系方式、抵押状况、经济历史、以及非常具体的购买行为分析如国内旅行习惯、是否是“猫奴”以及运动兴趣等。

S3存储桶的默认安全设置通常仅允许授权用户访问这些内容。然而,UpGuard公司表示这个S3存储桶通过权限设置进行配置,允许任何 AWS 验证用户下载存储数据,经验证的用户可以拥有AWS账户的任意用户。UpGuard 公司指出,“简言之,只要拥有一个 AWS 账户、使用一个新建的邮件地址就足以获取访问这个存储桶内容的权限。”

 

谁应为事件担责?

Experian公司的被泄露数据范围非常广而且非常具有入侵性质,该公司的一名发言人向《福布斯》表示,这个问题因归咎于Alteryx,事件并不涉及任何 Experian系统。

UpGuard 公司指出,Alteryx部署安全措施后,公司的发言人对该事件的严重程度轻描淡写。该发言人表示,“具体来讲,这个文件中包含营销数据,包括基于第三方内容提供商提供的模型、预测的聚合信息、去识别化信息;而且我们将数据提供给购买这些数据做分析之用的消费者。文件中的信息并未表示这次事件导致消费者遭受任何身份被盗风险。”

文章原文链接:https://www.anquanke.com/post/id/91602