健身品牌V Shred暴露了超过99000名顾客和教练的个人身份信息(personally identifiable information 简称PII),目前还没有完全解决数据库泄露的问题。
总部位于拉斯维加斯的V Shred是一家提供健身计划的公司,专注于快速锻炼,营养计划和饮食指南。该公司称其客户遍布119个国家,其网站每月的独立访问量达到1200万,并拥有超过4万的大学课程用户。
由Noam Rotem和run Locar领导的vpnMentor研究团队公开了这次数据泄露,其中一个未加密的AWS S3存储bucket暴露了至少99000人的个人身份信息(PII)。
该存储bucket于5月14日被发现,包含130万个文件,总计606GB数据。这些文件中有三个特别值得注意的CSV文件。一个似乎是潜在客户生成列表,另一个是客户电子邮件列表,以及一个教练列表。
据统计,这些文件包含姓名、家庭住址、电子邮件地址、出生日期、一些社会安全号码、社交媒体账户详细信息、用户名和密码、年龄、性别和公民身份等数据。
最重要的.CSV文件大小为180MB,其中包含成千上万人的个人身份信息(PII)。ZDNet对open bucket进行了验证,包含与教练和客户相关信息的CSV文件仍然暴露在外。许多资源仍然是开放和可访问的,从公司资料到饮食指南、锻炼计划和用户照片。包括ID、姓名、电子邮件地址、性别和客户端电子邮件地址。其中一些照片可能被认为是敏感的。
由于存储在存储bucket中的是公司物料,因此不难确定V Shred是其所有者。V Shred和亚马逊网络服务(AWS)分别在5月18日和20日收到有关配置错误的存储bucket的通知。
V Shred于6月1日通过亚马逊客户服务对研究团队做出了回应。在公司与研究人员之间的对话中,V Shred团队成员否认存在个人身份信息(PII)暴露问题。
一开始,这名团队成员说这个bucket只用于存储web资产、CSS和媒体文件,并补充说如果这些资源不是公开的,成员就不能下载他们的饮食指南或训练计划。
另外,V Shred说,为了访问此类内容,必须共享链接和/或需要用户登录。
但是,研究人员解释说,bucket是开放的,匿名用户可以浏览,包括每个单独的目录列表。
6月18日,包含大量个人身份信息(PII)的主CSV文件被删除,但是bucket的其余部分仍然是公开、可访问的。
VPNmentor指出:“ V Shred是一家年轻的公司,似乎由一个小团队经营。但是,它仍然有责任保护使用其产品和服务的用户。如果不这样做,V Shred会危害到人们的隐私和安全以及公司未来的发展。”
*本文出自SCA安全通信联盟,转载请注明出处。(SCA安全通信联盟原创文章对外开白,欢迎加微信MrYe9173751开白)
