一家巴西 Wi-Fi 管理软件公司暴露了多家知名公司及其数百万客户的数据。
这些数据是由 WSpot 泄露的,该公司提供的软件使企业能够保护其内部部署的 Wi-Fi 网络,并允许客户免密码在线访问。
该漏洞是由安全研究公司 SafetyDetectives 发现的。研究人员发现了 WSpot 配置错误的亚马逊网络服务 (AWS) S3 存储桶,该存储桶处于打开状态并向公众公开了 10GB 的数据。在 9 月 2 日发现敏感数据后,研究人员于 9 月 7 日联系了这家软件公司。WSpot 次日确定了漏洞。
研究人员指出,大约 226,000 个文件在泄漏中暴露,其中包括大约 250 万个人的个人信息,这些个人连接到 WSpot 客户端提供的公共 Wi-Fi 网络。该公司的客户组合包括必胜客、金融服务提供商 Sicredi 和医疗保健公司 Unimed。
根据 SafetyDetectives 的说法,暴露的一组信息包括个人提供的详细信息,以便访问公司提供的 Wi-Fi 服务。这包括全名、电子邮件地址、完整地址和纳税人注册号——除了在注册过程中创建的登录凭据。
WSpot 向ZDNet证实了泄漏,称该问题是由于“在特定文件夹中[存储]的信息管理缺乏标准化”造成的。这家巴西公司重申,它一直在努力解决这个问题,直到 11 月 18 日技术程序结束。
WSpot 表示其服务器保持完好,没有被恶意行为者入侵,并表示没有证据表明暴露的数据已被网络犯罪分子访问。不过,该软件公司也表示,已聘请安全公司全面调查与事件中泄露的数据有关的任何影响。
WSpot 表示,该问题影响了其总客户群的 5%,并且其客户的业务和/或敏感信息均未受到损害。此外,它重申它不会捕获财务信息,例如信用卡详细信息或其他服务的访问凭证。
目前尚不清楚该公司是否会将此事件告知暴露的个人。
据 WSpot 发言人称,尚未就该事件联系国家数据保护局,但是,“WSpot 正在尽可能彻底地解决围绕此案的所有法律问题,特别是为了确定下一步行动。”(文章来源:安全圈)