聽說(shuō)過(guò) MBM 公司的名頭嗎？恐怕了解的人不多，不過(guò) Limogés Jewelry 這一珠寶電商品牌可能你會(huì)有所耳聞，而它就是 MBM 公司旗下的一個(gè)品牌?？吹竭@里你可能會(huì)想，我是不是走錯(cuò)房間了？當(dāng)然不是，今天雷鋒網(wǎng)要講的這起信息泄露事件就與該珠寶電商品牌有關(guān)。

Limogés Jewelry 客戶信息泄露，130 萬(wàn)人受影響

MBM 公司上了頭條可不是因?yàn)樾缕反筚u，而是被德國(guó)安全公司 Kromtech Security 的研究人員抓住了小辮子。研究人員在不安全的亞馬遜 S3 存儲(chǔ)桶中發(fā)現(xiàn)了該公司的 MSSQL 數(shù)據(jù)庫(kù)備份文件。Kromtech 的安全研究團(tuán)隊(duì)相信，在處理客戶數(shù)據(jù)上，MBM 公司可一點(diǎn)也不上心。

最初，研究者懷疑這些數(shù)據(jù)歸沃爾瑪所有，因?yàn)檫@個(gè)存儲(chǔ)桶被命名為“walmartsql”，不過(guò)后來(lái)他們通過(guò)分析后發(fā)現(xiàn)，這些數(shù)據(jù)的主人其實(shí)是 MBM 公司。

密碼居然用明文保存

Kromtech Security 公司通訊負(fù)責(zé)人 Bob Diachenko 透露稱，在對(duì)泄露文檔作了進(jìn)一步評(píng)估后他們發(fā)現(xiàn)，這里容納了超過(guò) 130 萬(wàn)人（準(zhǔn)確來(lái)說(shuō)是 1314193 人）的私人敏感數(shù)據(jù)。

這些數(shù)據(jù)包含個(gè)人住址、email 地址、IP 地址和郵政編碼，許多客戶的密碼甚至直接用明文顯示，毫無(wú)安全性可言。不過(guò)，更惡劣的還在下面，這份文檔還包含了內(nèi)部郵件列表、優(yōu)惠碼和項(xiàng)目訂單。在 Bob Diachenko 看來(lái)，這是 MBM 公司的嚴(yán)重失職。 

遭曝光數(shù)據(jù)的截屏

“密碼居然直接用明文保存，這也太大意了。鑒于許多用戶在不同平臺(tái)上都使用相同密碼，其后果會(huì)相當(dāng)嚴(yán)重。”Diachenko 在一份聲明中寫道。

存在問(wèn)題的備份文檔名為“MBMWEB_backup_2018_01_13_003008_2864410.bak”，研究人員已經(jīng)確認(rèn)，它生成與今年 1 月 13 日。數(shù)據(jù)庫(kù)包含了該公司美國(guó)和加拿大的客戶信息，文檔里還有更新信息，意味著這是新鮮出爐的數(shù)據(jù)。雖然該數(shù)據(jù)庫(kù)存儲(chǔ)的大多數(shù)是 2018 年初的數(shù)據(jù)，但研究人員還發(fā)現(xiàn)了 2000 年時(shí)的用戶記錄。專家認(rèn)為，這可能是 MBM 公司的主數(shù)據(jù)庫(kù)。

Diachenko 強(qiáng)調(diào)了此次事件的嚴(yán)重程度，稱 MBM 需要嚴(yán)肅對(duì)待?？偨Y(jié)現(xiàn)有消息我們也可得出一個(gè)結(jié)論：MBM 公司平時(shí)的安全防御工作太失敗了。舉例來(lái)說(shuō)，它們居然給了存儲(chǔ)桶一個(gè)非常容易猜到的名字，S3 域名也太過(guò)平常，即使普通用戶也能用網(wǎng)上的掃描工具對(duì)其進(jìn)行破解。

此外，密碼以明文形式出現(xiàn)也讓人分開，這相當(dāng)于直接扒了用戶的底褲。

眼下，我們尚不清楚該數(shù)據(jù)庫(kù)是否已被惡意第三方光顧，畢竟壞人的勒索信還沒露面。不過(guò)，我們也不能肯定的說(shuō)這個(gè)大漏洞只有 Kromtech Security 公司的人發(fā)現(xiàn)。

此前，不安全的亞馬遜 S3 存儲(chǔ)桶就讓許多主流公司中招，雖然對(duì)存儲(chǔ)桶做個(gè)正確的安全認(rèn)證并不困難。除了 MBM，包括聯(lián)邦快遞、Alteryx 和 RNC 在內(nèi)的公司都因?yàn)樵诎踩鲜韬龃笠獬赃^(guò)虧。

安全專家支招稱，在使用該技術(shù)前，各家公司得先讓自己熟悉一些安全基礎(chǔ)技能，直接把敏感信息存入一個(gè)向公眾開放的存儲(chǔ)桶可不是什么高明的決定，沒有對(duì)密碼進(jìn)行加密更是不可饒恕。

Kromtech Security 的研究人員還因?yàn)榇耸绿嵝蚜宋譅柆?，零售巨頭立即對(duì)其進(jìn)行了修復(fù)。不過(guò)截至發(fā)文前，MBM 依舊沒有做出任何反應(yīng)。雷鋒網(wǎng)將持續(xù)關(guān)注此事。

雷鋒網(wǎng)AVI hackread

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。