做网站3年,门户网站建设调查问卷,网站换域名做301,大数据营销前景两家在线 PDF 制作者泄露了数万份用户文档#xff0c;包括护照、驾驶执照、证书以及用户上传的其他个人信息。
我们都经历过这样的情况#xff1a;非常匆忙#xff0c;努力快速制作 PDF 并提交表单。许多人向在线 PDF 制作者寻求帮助#xff0c;许多人的祈祷得到了回应。 …
两家在线 PDF 制作者泄露了数万份用户文档包括护照、驾驶执照、证书以及用户上传的其他个人信息。
我们都经历过这样的情况非常匆忙努力快速制作 PDF 并提交表单。许多人向在线 PDF 制作者寻求帮助许多人的祈祷得到了回应。
然而如果您想知道为什么这些服务恰好是免费的那是因为用户数据安全并不是某些人的首要任务之一。 Cybernews 研究团队发现了两个在线 PDF 制作工具 PDF Pro 和 Help PDF泄露了超过 89,000 份文档。 更糟糕的是多次尝试联系服务提供商都完全没有被注意到在发布时暴露的 Amazon S3 存储桶对任何人都开放。此外用户仍在上传他们的文档却没有意识到他们的数据正在泄露到互联网上。
我们还联系了服务提供商以获取正式声明但尚未收到回复。
安全风险严重
PDF Pro (pdf-pro.io) 和 Help PDF (help-pdf.com) 似乎由同一家位于英国的法人实体运营并采用相同的设计。为用户提供 PDF 转换工具、压缩工具和编辑工具以及签署文档的选项。
据该团队称暴露的实例包含用户上传的文档。截至撰写本文时暴露的文件总数为 89,062 个其中 87,818 个通过 PDF Pro 上传1,244 个通过 Help PDF 上传。
这些文件包含很少有人愿意在网上共享的敏感信息。打开的桶包含
护照驾驶执照证书合约其他文件和信息
研究人员表示“通过获取个人文件犯罪分子可以从事各种欺诈活动例如利用受害者的身份申请贷款、租赁房产或购买昂贵的物品。” 攻击者可以利用泄露的文件冒充个人并以受害者的名义开设银行账户、申请信用卡或进行其他金融交易。
此外威胁行为者可以更改或伪造合同或许可证等文件以创建虚假身份、伪造资格或操纵法律协议以谋取自身利益从而可能给受害者带来法律问题。
该团队提供了一些缓解泄漏并避免将来发生此类事件的技巧
立即限制公众对存储桶的访问更改存储桶策略和访问控制列表 (ACL) 以限制仅授权用户或应用程序的访问确保存储桶中的所有对象都设置为私有或配置了适当的访问控制在存储桶上启用服务器端加密以保护静态数据。管理员可以根据自己的要求在 SSE-S3、SSE-KMS 或 SSE-C 之间进行选择
