集会暴露了十年的私人用户数据价值

当TechCrunch的Zack Whittaker与Rallyhood联系，谈论一个配置错误的S3存储桶 ，该存储桶暴露了很多用户数据时，他最初被告知泄漏的数据库仅用于测试目的，而人们的实际信息被保存在高度安全的水桶。”后来，Rallyhood的首席技术官Chris Alderson提供了不同版本的活动。他承认，在一个迁移项目中，“短暂地”在公司的一个存储桶上“错误地开放了权限”。在撰写本文时，这是Rallyhood与世界其他地方共享的关于该事件的唯一信息，必须说，鉴于泄漏数据的数量和性质，这并不是理想的选择。

改天，另一个泄漏的S3存储桶暴露了数百万用户的文件

该漏洞是由一名安全研究人员发现的，他更希望通过其Twitter句柄Timeless来发现。 Timeless决定利用TechCrunch的影响力来确保尽快保护数据的安全，鉴于Rallyhood的业务和庞大的用户群，这确实是最紧迫的任务。

当雅虎宣布将要砍掉雅虎集团时，该网站的知名度得到了极大的提升，成千上万的人将讨论转移到了Rallyhood。但是，我们应该指出，Rallyhood不仅仅是一个留言板。它也是一个协作平台，各种形状和大小的组织都可以使用该平台来组织和跟踪任务和事件。这意味着Rallyhood需要处理和存储大量数据。

该公司不会透露该平台有多少活跃用户，并且目前尚无法确切估计受该漏洞影响的人数。我们所知道的是，S3存储桶存储着高达4.1TB的数据，并且由于一个非常常见的配置错误，它无需密码即可公开访问。根据Zack Whittaker的说法，URL也是“容易猜测的”，这使某人获得有关该信息的机会变得更加真实。

一些公开的数据非常敏感

惠特克（Whittaker）审查了一些文件，发现了联系方式，使他可以与受影响的用户联系并验证泄漏的真实性。不幸的是，除了电话和电子邮件地址之外，存储桶还包含很多信息。

TechCrunch的记者发现了从合同和许可单到保密协议以及共享密码列表的所有内容，这些列表绝对不应该公开访问。正如我们已经提到的那样，Rallyhood的CTO试图通过告诉TechCrunch曝光持续时间不长来限制损害程度，但是他不愿透露“简短期限”的“简短程度”。我们确实确定的是，泄漏的数据库中的某些文件具有2011年时间戳。不幸的是，尽管在错误配置的数据库中存在将近十年的私人文件，Rallyhood拒绝告诉TechCrunch公司是否有计划将其告知潜在受影响的个人。

总而言之，到目前为止，Rallyhood在处理无疑是相当严重的数据泄漏方面表现出明显的缺乏透明度。该公司显然犯了一个错误，这并不是一件好事，但真正的坏印象是来自一个事实，即它似乎不愿意承担责任。