Sennheiser 将超过 28,000 名客户的个人数据暴露在配置错误的 Amazon Web Services (AWS) 服务器上。
根据德国音频设备制造商 vpnMentor 的一份报告,Sennheiser在网上留下了一个不安全的亚马逊网络服务 (AWS) 服务器。该服务器存储了大约 55GB 的超过 28,000 名 Sennheiser 客户的信息。
AWS 存储桶在需要存储大型数据文件的企业中很受欢迎。但是,定义 AWS S3 存储桶的安全设置非常重要,根据 vpnMentor 的说法,Sennheiser 未能确保这一点。
森海塞尔客户的个人数据暴露
VpnMentor 报告称 ,Sennheiser 使用AWS S3 存储桶来存储包含从其客户收集的数据的大型数据文件。根据 vpnMentor 的研究人员 Noam Rotem 和 Ran Locar 的说法,该数据库是一个旧的云帐户,其中包含 28,000 名客户的数据,并在 2015-2018 年间收集;然而,该数据库自 2018 年以来一直处于休眠状态。
研究人员在他们的报告中指出,该数据库可能很旧,但这些信息对网络犯罪分子来说是宝贵的。他们于 2021 年 10 月 28 日联系了 Sennheiser,告知他们服务器未受保护和数据泄露。
关于数据
研究人员指出,该存储桶包含来自要求 Sennheiser 产品样本的个人和企业的数据。该数据库包括全名、电子邮件 ID、家庭地址、电话号码、员工姓名和公司名称。
此类数据足以让网络犯罪分子执行各种攻击,例如网络钓鱼诈骗或身份盗用。暴露的 AWS 服务器立即得到了 Sennheiser 的保护,但令人担忧的是,此类敏感数据对公众开放了这么长时间。
“一旦我们确认 Sennheiser 应对数据泄露负责,我们就联系了该公司以通知它并提供我们的帮助。几天后,Sennheiser 回复并要求我们提供调查结果的详细信息。
我们向不安全的服务器公开了 URL,并提供了有关其包含内容的更多详细信息。尽管没有再次收到公司的回复,但几小时后服务器就得到了保护,”vpnMentor 的报告中写道。
数安时代GDCA在此提醒企业网站:
1、及时通过数安时代GDCA安装SSL证书!SSL证书除了保护用户信息安全、防止用户误进钓鱼假冒网站以外,还能让用户有信心访问网站。相对于HTTP协议的明文传输,HTTPS能最大程度上防止黑客的入侵,建议企业网站使用更高级的OVSSL证书或者更高级的EV SSL证书还可以在网址栏显示企业信息,让用户更信任的同时还可以提升企业品牌形象增加企业的营业额。
2、选择知名品牌的SSL证书。市面上SSL证书繁多,但是很多证书存在通用性不佳,不受浏览器兼容等问题,国际知名品牌Symantec 、Globalsign、GeoTrust就通用于99.99%的浏览器,还可以进行恶意代码扫描,大大的减少了黑客劫持的风险,为网站健康多加了一把锁。
3、选择具有公信力的CA机构!当商户申请SSL证书时,通常会要求商户提交身份资质文件(如企业营业执照等),经过CA机构人工审核后才能颁发。而CA机构的选择至关重要的一点是CA机构的实力与服务品质,市场信誉度和口碑是选择CA机构的必备条件。
翻译自:hackread
领取优惠
提交成功!