Cooperate with us < I >

Focusing on product research and development in the field of information security, we are committed to providing professional information security products, solutions, technical advisory services for government, military and other secret-related units, as well as other enterprises and institutions.

Do you want to talk to us about the field of information security and file encryption?

You can fill in the form on the right to let us know your project requirements and we will contact you as soon as possible. Of course, you are also welcome to call us at 400.

You can also contact us through the following channels:

Address: 7th Floor, Zone B, Innovation Building, Phase I Pearl Bay Software Park, Siming District, Xiamen

Tel: 400-666-0170/0592-2565820

Official website: www.tipray.com

Customer service: sales@tipray.com

Market cooperation: market@tipray.com

Quickly submit your requirements ↓

Kromtech安全中心披露两起数据泄露事件 涉及本田汽车和环球唱片

Release time:2018-06-01 source: Browse times:2872

Kromtech安全中心在本周三(530日)再次披露了两起数据泄露事件,事件的主体包括本田汽车公司(HONDA)在印度的子公司——本田印度(Honda India)以及成立于1912年的全球音乐巨头——环球唱片(Universal Music GroupUMG)。

其中,本田印度因为不安全的AWS S3存储桶泄露了超过5万名客户的个人详细信息,而环球唱片则因为受到其承包商的牵连,暴露了自己的内部FTP凭证、数据库根密码和AWS配置详细信息,包括访问密钥和密码。

本田印度泄露5万移动应用程序用户信息

Kromtech安全中心指出,本田汽车印度公司意外将超过5万名Honda CONNECT移动应用程序用户的个人详细信息存储在了两个可公开访问的Amazon S3存储桶中,这使得黑客窃取这些数据成为了可能。

Honda CONNECT(智导互联)是本田汽车公司与阿里巴巴・高德集团共同开发的新一代导航互联系统。它为用户提供精准导航、在线娱乐、信息传输以及紧急救援等多样化服务,允许用户通过Honda CONNECT移动应用程序与自己的汽车进行互动,也可以与本田汽车公司提供的服务进行订约和互动。

随着时间的推移,该应用程序到目前为止已经收集并存储了大量有关于用户及其汽车的各种信息。Kromtech安全中心的研究人员Bob Diachenko发现,能够被公开访问的信息包括用户及其可信联系人的姓名、电话号码、密码、性别和电子邮箱地址,以及有关他们汽车的信息,包括VINConnect ID等。

值得注意的是,Diachenko并不是第一个发现这两个存储桶的人。Diachenko说,当他发现这两个存储桶的时候,它们就已经包含了一个名为“poc.txt”的文件,并带有安全提示信息。

从文件内容来看,它是由一位名叫Robbie Wiggins的安全研究员在今年228日创建的。近一年来,Wiggins一直在扫描互联网上的AWS S3存储桶,并将这些信息留在不安全的存储桶中。Wiggins一直在这样做,以提醒存储桶所有者应该在数据遭到破坏前对它们采取加密软件保护措施。

Diachenko表示,与本田汽车印度公司取得联系并不容易,这大概花费了他们近两周的时间。好消息是,该公司目前已经对此事进行了回应,而不安全的AWS S3存储桶也已经得到了应有的保护。

环球唱片内部机密数据遭承包商意外暴露

Kromtech安全中心的专家发现,由于两个未受保护的Apache Airflow服务器实例,环球唱片的云数据存储承包商Agilisium意外暴露了该公司的内部FTP凭证、AWS配置细节(访问密钥和密码),以及内部源代码细节(SQL密码)。

Apache Airflow是一个以编程方式编写、调度和监控工作流的平台,基于Python。默认情况下,Airflow是完全开放的,这一点通常会在安全文档的第一行写明,这意味着用户必须进行一些设置步骤来保护服务器。很显然,Agilisium公司跳过了这些步骤,导致无意中暴露了一切。

在与环球唱片取得联系后,该公司迅速进行了回应并解决了问题。

Recommended news

数据泄露丑闻发酵,脸书已到生死关头?

2018-03-21

近日一则“剑桥分析(Cambridge Analysis)”丑闻,引发全球数据泄露风波。身处“...

谷歌微软发现芯片新漏洞 恐泄露用户信息

2018-05-23

【环球网科技综合报道】据英国《每日邮报》5月23日报道,谷歌与微软再次曝光了一个计算机芯片缺陷,该缺陷会泄露你手机...

英国航空数据泄露受害者远超预期,或将面临5亿英镑巨额罚款

2018-10-29

英国国际航空集团(IAG,英国航空公司的母公司)在本周四的一份声明中表示,受英国航空(British Airway...

2017年国内外网络数据信息安全泄露盘点

2017-12-21

注:本文资料均来自网站摘录 2017年转眼即逝,对于混迹互联网圈子的人来讲,听到最多的无非就是:大数据...

优步隐瞒用户数据泄露事件:给黑客66万了事

2017-11-23

据彭博社11月22日报道,优步隐瞒用户数据泄露事件,其5700万用户和司机的个人数据遭黑客窃取。 &n...



Copyright ©2006-2019 厦门天锐科技股份有限公司

在线
客服

客服
热线

400-666-0170
0592-2565820
7*24小时客户服务热线
点击上方电话,免费通话

Back to top