集會暴露了十年的私人用戶數據價值

當TechCrunch的Zack Whittaker與Rallyhood聯繫，談論一個配置錯誤的S3存儲桶 ，該存儲桶暴露了很多用戶數據時，他最初被告知洩漏的數據庫僅用於測試目的，而人們的實際信息被保存在高度安全的水桶。”後來，Rallyhood的首席技術官Chris Alderson提供了不同版本的活動。他承認，在遷移項目期間，“許可被錯誤地保留”在公司的一個存儲桶上“短暫”。在撰寫本文時，這是Rallyhood與世界其他地區共享的有關該事件的唯一信息，必須說，鑑於洩漏數據的數量和性質，這並不是理想的選擇。

改天，另一個洩漏的S3存儲桶暴露了數百萬用戶的文件

該漏洞是由一名安全研究人員發現的，他更希望通過其Twitter句柄Timeless來了解。 Timeless決定利用TechCrunch的影響力來確保盡快保護數據的安全，鑑於Rallyhood的業務和龐大的用戶群，這確實是最緊迫的任務。

當雅虎宣布將要砍掉雅虎集團時，該網站的知名度得到了極大的提升，成千上萬的人將討論轉移到了Rallyhood。但是，我們應該指出，Rallyhood不僅僅是一個留言板。它也是一個協作平台，各種形狀和大小的組織都可以使用該平台來組織和跟踪任務和事件。這意味著Rallyhood需要處理和存儲大量數據。

該公司不會透露該平台有多少活躍用戶，並且目前尚無法確切估計受該漏洞影響的人數。我們所知道的是，S3存儲桶可存儲高達4.1TB的數據，並且由於一個非常常見的配置錯誤，它無需密碼即可公開訪問。根據Zack Whittaker的說法，URL也是“容易猜測的”，這使某人獲得有關該信息的機會變得更加真實。

一些公開的數據非常敏感

惠特克（Whittaker）審查了一些文件，發現了聯繫方式，使他可以與受影響的用戶聯繫並驗證洩漏的真實性。不幸的是，除了電話和電子郵件地址之外，存儲桶還包含很多信息。

TechCrunch的記者發現了從合同和許可單到保密協議以及共享密碼列表的所有內容，這些列表絕對不應該公開訪問。正如我們已經提到的那樣，Rallyhood的CTO試圖通過告訴TechCrunch曝光不會持續很長時間來限制損害，但是他不願透露“簡短期限”有多“簡短”。我們確實確定的是，洩漏的數據庫中的某些文件具有2011年時間戳。不幸的是，儘管在錯誤配置的數據庫中有將近十年的私人文件，Rallyhood拒絕告訴TechCrunch公司是否有任何計劃將其告知可能受影響的個人。

總而言之，到目前為止，Rallyhood在處理無疑是相當嚴重的數據洩漏方面表現出明顯的缺乏透明度。該公司顯然犯了一個錯誤，這並不是一件好事，但真正的壞印像是來自一個事實，即它似乎不願意承擔責任。