Netflix、TD银行和 Ford 只是 Attunity 数据管理公司旗下三个漏洞百出的AmazonS3 Bucket所泄露数据中的“一部分”。

属于数据管理公司Attunity的三个存在未授权漏洞的云存储桶泄露了其财富100强客户的超过1TB的数据，包括内部业务文档、系统密码、员工信息等敏感数据。

今年五月，总部位于以色列的Attunity被QLIK收购，现作为QLIK旗下的一个部门进行运营，主要职能是复制和迁移数据集，以便于进行数据分析。该公司为2000多家企业客户和一半的《财富》100强企业提供服务。目前在所泄露的数据集 中发现了Netflix、TD Bank和Ford的数据。

此次数据泄露事件是由UpGuard的研究人员发现的，泄露的敏感数据主要包括客户的内部业务文档、员工电子邮件和OneDrive帐户的备份以及电子邮件、系统密码等。目前，该漏洞已被修复。

研究人员在周四公布的报告中表示，此次事件中暴露的很多敏感的证件、信息、邮件虽然已有一定的历史，但其活跃度依旧很高（一直有被使用更改的迹象），仍会对企业安全产生产生较大威胁。

研究人员是在5月13日首次发现这三个AmazonS3 Buckets（“AttunityIt”、“AttunityPatch”和“AttunitySupport”）。而被QLIK收购的Attunity在5月16日得到了事件通知——接着第二天，预算被取消。

三个存在泄露缺陷的存储桶的总大小尚不确定，但研究人员下载了一个大约1TB大小的样本，其中包括750GB的被压缩的电子邮件备份。值得一提的是，俄克拉荷马州政府1月份公布的涉及数百万条记录的泄露事件的总泄漏量为3TB；2017年共和党的2亿选民数据泄漏事件的总泄漏量为1.1TB。

ThreatPost联系了福特、TD银行和Netflix的对外代表，但尚未得到回复。

Qlik的一位发言人对ThreatPost表示，他们仍在对该问题进行彻底调查，并已雇佣外部安全公司对此进行独立安全评估。他们将认真对待这件事，并承诺尽快结束调查。

泄露文件

研究人员称，他们在一份名为“AttunityIt”文件中发现了大量敏感数据，该文件包含的信息最早可追溯到2014年9月。而另外两个文件是被发现的几天前上传的。

在这些数据集中，研究人员发现了某些公司的客户列表、系统凭证（如私钥）以及客户和Attunity自己内部系统的系统信息（包括SAP系统详细信息）。

除此之外，里面还有一系列个人信息，包括客户的人力资源信息，如工资单或身份验证数据。

Attunity自己的员工信息也被曝光了。研究人员发现电子表格中有大量的员工数据，包括员工姓名、工资单等等。他们还发现，Attunity员工的身份编号很社会保险号码编号方案很相似，这可能会引发一系列的数据事件，泄露大量员工的社会保险号码。

研究人员最后表示：“出于明显的安全原因，在美国政府网站不能直接查询到社会保险号码和姓名的对应关系，因此我们无法确认这些员工编号和社会保险号码的对应性。”

数据泄露——一个难以解决的问题

意外的数据泄露仍然是困扰大型公司的一个严重问题。根据2019年Verizon数据泄露调查报告，由内部人员发起的事件占数据泄露的34%，而且其中多数位意外泄露，而不是故意泄露。

消息来源：https://nosec.org/home/detail/2728.html