令人震驚的鑰匙圈應用數據洩漏已暴露1400萬用戶

如果您仍然認為嚴重的數據洩漏並不常見，那麼我們的故事可能會改變您的想法。 1月，由Noam Rotem和Ran Locar領導的一組研究人員發現配置不正確的AWS S3存儲桶暴露了大量信息。不幸的是，專家們在vpnMentor的文章中承認，他們當時正忙於報告其他數據洩漏，以致於他們無法立即調查此問題並通知負責此事的人員。直到大約一個月後，他們終於開始著手解決這一特殊的洩漏問題。

服務提供商仍在努力掌握雲存儲解決方案提供的安全機制，並且漏洞左右，中間出現。專家無法跟上步伐，一如既往，毫無戒心的用戶要承擔後果。在這種情況下，潛在的後果是巨大的。

鑰匙圈應用程序將用戶的數字錢包暴露給全世界

研究人員發現的第一個存儲桶包含多達4400萬張圖像。它包含大量數據，但真正令人震驚的部分是公開信息的性質。一旦找到時間進行調查，研究人員就會發現配置錯誤的S3存儲桶屬於Key Ring，Key Ring是一種移動應用程序，除其他功能外，還使您可以選擇數字化錢包中大部分內容的選項。它使您可以拍攝和存儲想法的虛擬副本，例如會員卡和禮品卡。使用該應用程序的1400萬人中，有些人還上傳了他們的信用卡和個人身份證件掃描件。當他們這樣做時，他們可能認為他們的數據將被安全地存儲。他們錯了。

錯誤配置的S3存儲桶包含信用卡，會員卡和會員卡，醫用大麻卡，駕照以及其他身份證明文件的掃描件。這些圖像完全以明文形式存儲，並且可以從世界任何地方訪問。您已經知道洩漏會嚴重影響用戶。不幸的是，這還沒有結束。

鑰匙圈配置不正確的S3存儲桶洩露了大量個人信息

在同一個存儲桶中，研究人員發現了一些CSV文件，其中包含數百萬人的個人身份信息（PII）。這些人在像Walmart這樣的Key Ring合作夥伴的成員名單上，名單上包含無數的個人詳細信息，例如姓名，地址，出生日期等。

經過一番翻番後，Noam Rotem和Ran Locar的團隊又找到了四個與Key Ring相關的配置錯誤的S3存儲桶。它們包含該應用程序數據庫的舊快照，並公開了用戶的電子郵件和家庭地址，IP，設備信息等。數據庫還保存了密碼，據研究人員稱，這些密碼是“加密的”。不幸的是，加擾它們的機制仍然不清楚。

還不清楚研究人員是否是唯一設法找到暴露數據的人。 2月18日，他們終於設法與Key Ring和亞馬遜取得了聯繫，兩天后，這些存儲桶被脫機，但是目前我們還不知道它們何時被放置。不幸的是，我們應該指出，儘管信息獲得的速度相對較快，但Key Ring對此事件的態度幾乎沒有榜樣。

當發生此類洩漏時，用戶希望收到單獨的通知，告知他們發生了什麼以及需要注意什麼。同時，公眾希望供應商能夠發布正式公告，該公告還將提供有關該事件的詳細信息以及為確保此事件不會再次發生而採取的預防措施。使用“鑰匙圈”，我們都沒有看到這些東西。

公開數據的數量，再加上沒有任何官方回應，這意味著我們只能假設所有1400萬鑰匙圈用戶都受到了影響。如果您是其中之一，則必須比平時更加謹慎，特別是如果您已在應用程序中存儲了任何敏感數據。