vpnMentor的研究小组称,来自数千家英国咨询公司的敏感文件在亚马逊云中没有安全保护,包括护照扫描,工作申请和税务文件。
在一篇博客文章中,vpnMentor记录了团队如何定位标记为“ CHS”的Amazon Web Services(AWS)S3存储桶数据库。用这种方式存储文件很普遍,但是它要求用户实现自己的安全协议,而在这里却没有。
VpnMentor将该数据库追踪到位于伦敦的一家名为CHS Consulting的咨询公司,但是该公司没有网站,因此VpnMentor无法确认CHS确实拥有该数据库。
数据库中有可追溯到2011年的文件,尽管大多数文件是2014年和2015年的文件,并链接到现已停业的公司,包括Dynamic Partners,Garraway Consultants,Partners Associates Ltd和Winchester Ltd,以及Eximius Consultants Limited和IQ Consulting,两者仍在运行。
除护照和税收信息外,数据库中的文件还包括地址证明,广泛的背景调查,犯罪记录,费用和福利表格,与营业税和HMRC(HM税收和海关)有关的文书工作,带签名的扫描合同,薪资信息,私人讯息和一份贷款合同。
邪恶的个人可能已经可以访问数千家公司的财务记录,国民保险号码,税法等等。VpnMentor说:“一家公司只有两个文件包含了完整的PII(个人身份信息)数据。”
即使通过公司运行服务器,这种数据泄露的责任也不落在亚马逊的脚下。Amazon提供了有关如何保护S3存储桶的说明,并且默认情况下它们是受保护的,因此公开数据通常是帐户所有者引起的问题。
据Wired称,亚马逊保护数据或使数据脱机,但不会透露是哪家公司负责该故障,因此无法将其报告给负责数据保护的英国公共机构信息专员办公室。
vpnMentor向国家网络安全中心(NCSC)报告了数据,但是该机构没有响应一个月,因为该电子邮件已发送到NCSC的垃圾邮件文件夹,Nopn Rotem和Ran Locar表示,他是vpnMentor研究团队的负责人。
这样的消息提醒我们,无论您保存自己的信息有多安全,公司仍然无法尽职调查。Rotem说,最近一次的违规行为“可能是无知和缺乏责任感的结合,他们根本不在乎”。