聽說過 MBM 公司的名頭嗎？恐怕了解的人不多，不過 Limogés Jewelry 這一珠寶電商品牌可能你會有所耳聞，而它就是 MBM 公司旗下的一個品牌?？吹竭@里你可能會想，我是不是走錯房間了？當(dāng)然不是，今天雷鋒網(wǎng)要講的這起信息泄露事件就與該珠寶電商品牌有關(guān)。

Limogés Jewelry 客戶信息泄露，130 萬人受影響

MBM 公司上了頭條可不是因為新品大賣，而是被德國安全公司 Kromtech Security 的研究人員抓住了小辮子。研究人員在不安全的亞馬遜 S3 存儲桶中發(fā)現(xiàn)了該公司的 MSSQL 數(shù)據(jù)庫備份文件。Kromtech 的安全研究團(tuán)隊相信，在處理客戶數(shù)據(jù)上，MBM 公司可一點(diǎn)也不上心。

最初，研究者懷疑這些數(shù)據(jù)歸沃爾瑪所有，因為這個存儲桶被命名為“walmartsql”，不過后來他們通過分析后發(fā)現(xiàn)，這些數(shù)據(jù)的主人其實(shí)是 MBM 公司。

密碼居然用明文保存

Kromtech Security 公司通訊負(fù)責(zé)人 Bob Diachenko 透露稱，在對泄露文檔作了進(jìn)一步評估后他們發(fā)現(xiàn)，這里容納了超過 130 萬人（準(zhǔn)確來說是 1314193 人）的私人敏感數(shù)據(jù)。

這些數(shù)據(jù)包含個人住址、email 地址、IP 地址和郵政編碼，許多客戶的密碼甚至直接用明文顯示，毫無安全性可言。不過，更惡劣的還在下面，這份文檔還包含了內(nèi)部郵件列表、優(yōu)惠碼和項目訂單。在 Bob Diachenko 看來，這是 MBM 公司的嚴(yán)重失職。 

遭曝光數(shù)據(jù)的截屏

“密碼居然直接用明文保存，這也太大意了。鑒于許多用戶在不同平臺上都使用相同密碼，其后果會相當(dāng)嚴(yán)重?！盌iachenko 在一份聲明中寫道。

存在問題的備份文檔名為“MBMWEB_backup_2018_01_13_003008_2864410.bak”，研究人員已經(jīng)確認(rèn)，它生成與今年 1 月 13 日。數(shù)據(jù)庫包含了該公司美國和加拿大的客戶信息，文檔里還有更新信息，意味著這是新鮮出爐的數(shù)據(jù)。雖然該數(shù)據(jù)庫存儲的大多數(shù)是 2018 年初的數(shù)據(jù)，但研究人員還發(fā)現(xiàn)了 2000 年時的用戶記錄。專家認(rèn)為，這可能是 MBM 公司的主數(shù)據(jù)庫。

Diachenko 強(qiáng)調(diào)了此次事件的嚴(yán)重程度，稱 MBM 需要嚴(yán)肅對待?？偨Y(jié)現(xiàn)有消息我們也可得出一個結(jié)論：MBM 公司平時的安全防御工作太失敗了。舉例來說，它們居然給了存儲桶一個非常容易猜到的名字，S3 域名也太過平常，即使普通用戶也能用網(wǎng)上的掃描工具對其進(jìn)行破解。

此外，密碼以明文形式出現(xiàn)也讓人分開，這相當(dāng)于直接扒了用戶的底褲。

眼下，我們尚不清楚該數(shù)據(jù)庫是否已被惡意第三方光顧，畢竟壞人的勒索信還沒露面。不過，我們也不能肯定的說這個大漏洞只有 Kromtech Security 公司的人發(fā)現(xiàn)。

此前，不安全的亞馬遜 S3 存儲桶就讓許多主流公司中招，雖然對存儲桶做個正確的安全認(rèn)證并不困難。除了 MBM，包括聯(lián)邦快遞、Alteryx 和 RNC 在內(nèi)的公司都因為在安全上疏忽大意吃過虧。

安全專家支招稱，在使用該技術(shù)前，各家公司得先讓自己熟悉一些安全基礎(chǔ)技能，直接把敏感信息存入一個向公眾開放的存儲桶可不是什么高明的決定，沒有對密碼進(jìn)行加密更是不可饒恕。

Kromtech Security 的研究人員還因為此事提醒了沃爾瑪，零售巨頭立即對其進(jìn)行了修復(fù)。不過截至發(fā)文前，MBM 依舊沒有做出任何反應(yīng)。雷鋒網(wǎng)將持續(xù)關(guān)注此事。

雷鋒網(wǎng)AVI hackread

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。