金融服务公司泄露了50万份敏感文件
近日,有安全研究人员表示,两家金融服务公司将50多万份敏感的法律和金融文件存储在AWS S3中一个不受保护的存储桶中,使这些文件直接暴露在公网中。
vpnMentor的研究团队在2019年12月发现了这个暴露的数据库。其中一项调查显示,这些文件似乎与一个名为MCA Wizard的商业预付资金移动应用有关,而这又和Advantage Capital Funding和Argus Capital Funding公司有关。
现已不在运营的MCA Wizard应用是由这两家公司开发的,它们拥有相同的物理地址,甚至某些员工也一样。Advantage和Argus主要帮助美国小企业获得资金支持。
当vpnMentor试图向这些公司通知失败后,它决定直接通知AWS,最终AWS在两天内将数据库下线。
此次安全事件共有超过50万份文件被曝光,共计425Gb,包括信用报告、合同、银行对照账单、驾照、法律文书、纳税申报单、采购订单、支付卡和商户账户的交易报告、社会保障信息以及银行账户的访问信息等。
vpnMentor在一篇博客文章中表示:“这次泄露严重影响了Advantage和Argus的声誉。由于没有保护好这个敏感的数据库,他们的客户和合作伙伴的安全、隐私已受到严重影响。”
“受影响的客户公司可能会对Advantage和Argus采取各种行动,要么停止与这两家公司的业务往来,要么采取法律手段。不管如何,这都将严重影响公司的客户、合同和业务关系,进入降低公司未来的收入。”
研究人员还表示,恶意攻击者也可能利用这些暴露的数据,发起有针对性的钓鱼攻击。