令人震惊的钥匙圈应用数据泄漏已暴露1400万用户

如果您仍然认为严重的数据泄漏并不常见，那么我们的故事可能会改变您的想法。 1月，由Noam Rotem和Ran Locar领导的一组研究人员发现配置不正确的AWS S3存储桶暴露了大量信息。不幸的是，专家们在vpnMentor的文章中承认，他们当时正忙于报告其他数据泄漏，以致于他们无法立即调查此问题并通知负责此事的人员。直到大约一个月后，他们终于开始着手解决这一特殊的泄漏问题。

服务提供商仍在努力掌握云存储解决方案提供的安全机制，并且漏洞左右，中间出现。专家无法跟上步伐，一如既往，毫无戒心的用户要承担后果。在这种情况下，潜在的后果是巨大的。

钥匙圈应用程序将用户的数字钱包暴露给全世界

研究人员发现的第一个存储桶包含多达4400万张图像。它包含大量数据，但真正令人震惊的部分是公开信息的性质。一旦找到时间进行调查，研究人员就会发现配置错误的S3存储桶属于Key Ring，Key Ring是一种移动应用程序，除其他功能外，还使您可以选择数字化钱包中大部分内容的选项。它使您可以拍摄和存储想法的虚拟副本，例如会员卡和礼品卡。使用该应用程序的1400万人中，有些人还上传了他们的信用卡和个人身份证件扫描件。当他们这样做时，他们可能认为他们的数据将被安全地存储。他们错了。

错误配置的S3存储桶包含信用卡，会员卡和会员卡，医用大麻卡，驾照以及其他身份证明文件的扫描件。这些图像完全以明文形式存储，并且可以从世界任何地方访问。您已经知道泄漏会严重影响用户。不幸的是，这还没有结束。

钥匙圈配置不正确的S3存储桶泄露了大量个人信息

在同一个存储桶中，研究人员发现了一些CSV文件，其中包含数百万人的个人身份信息（PII）。这些人在像Walmart这样的Key Ring合作伙伴的成员名单上，名单上包含无数的个人详细信息，例如姓名，地址，出生日期等。

经过一番翻番后，Noam Rotem和Ran Locar的团队又找到了四个与Key Ring相关的配置错误的S3存储桶。它们包含该应用程序数据库的旧快照，并公开了用户的电子邮件和家庭住址，IP，设备信息等。数据库还保存了密码，据研究人员称，这些密码是“加密的”。不幸的是，加扰它们的机制仍然不清楚。

还不清楚研究人员是否是唯一设法找到暴露数据的人。 2月18日，他们终于设法与Key Ring和亚马逊取得了联系，两天后，这些存储桶被脱机，但是目前我们还不知道它们何时被放置。不幸的是，我们应该指出，尽管信息获得的速度相对较快，但Key Ring对此事件的态度几乎无法体现。

当发生此类泄漏时，用户希望收到单独的通知，告知他们发生了什么以及需要注意什么。同时，公众希望供应商能够发布正式公告，该公告还将提供有关该事件的详细信息以及为确保此事件不会再次发生而采取的预防措施。使用“钥匙圈”，我们都没有看到这些东西。

公开数据的数量，再加上没有任何官方回应，这意味着我们只能假设所有1400万钥匙圈用户都受到了影响。如果您是其中之一，则必须比平时更加谨慎，特别是如果您已在应用程序中存储了任何敏感数据。