近日，有安全研究人员表示，两家金融服务公司将50多万份敏感的法律和金融文件存储在AWS S3中一个不受保护的存储桶中，使这些文件直接暴露在公网中。

vpnMentor的研究团队在2019年12月发现了这个暴露的数据库。其中一项调查显示，这些文件似乎与一个名为MCA Wizard的商业预付资金移动应用有关，而这又和Advantage Capital Funding和Argus Capital Funding公司有关。

现已不在运营的MCA Wizard应用是由这两家公司开发的，它们拥有相同的物理地址，甚至某些员工也一样。Advantage和Argus主要帮助美国小企业获得资金支持。

当vpnMentor试图向这些公司通知失败后，它决定直接通知AWS，最终AWS在两天内将数据库下线。

此次安全事件共有超过50万份文件被曝光，共计425Gb，包括信用报告、合同、银行对照账单、驾照、法律文书、纳税申报单、采购订单、支付卡和商户账户的交易报告、社会保障信息以及银行账户的访问信息等。

vpnMentor在一篇博客文章中表示：“这次泄露严重影响了Advantage和Argus的声誉。由于没有保护好这个敏感的数据库，他们的客户和合作伙伴的安全、隐私已受到严重影响。”

“受影响的客户公司可能会对Advantage和Argus采取各种行动，要么停止与这两家公司的业务往来，要么采取法律手段。不管如何，这都将严重影响公司的客户、合同和业务关系，进入降低公司未来的收入。”

研究人员还表示，恶意攻击者也可能利用这些暴露的数据，发起有针对性的钓鱼攻击。

​​​​​​​消息来源：https://nosec.org/home/detail/4344.html