Логистический гигант D.W. Morgan допустил утечку 100 ГБ данных

Исследователи безопасности из Website Planet Security Team обнаружили некорректно сконфигурированный бакет Amazon S3, принадлежащий американскому логистическому гиганту D.W. Morgan.

База данных содержит более 100 ГБ данных – свыше 2,5 млн файлов с финансовой информацией, данными по доставке и транспортировке, персональными и конфиденциальными записями сотрудников и клиентов D.W. Morgan по всему миру, включая компанию Ericsson из списка Global 500 и Cisco из Fortune 500.

Бакет Amazon S3 не был защищен паролем, поэтому любой, кто знаком с принципом работы AWS, мог получить доступ к следующим данным: подписям, полным именам, вложениям, телефонным номерам, заказанным товарам, сведениям о поврежденных грузах, фотографиям, адресам биллинга и доставки, датам накладных, штрих-кодам доставки, местоположению предприятий, стоимости оплаченных товаров, изображениям внутренних документов, а также планам и соглашениям о транспортировке.

На скриншоте ниже представлена накладная на сумму $350 тыс., выданная D.W. Morgan компанией Cisco.

Обнаружив незащищенную базу данных, специалисты незамедлительно связались с D.W. Morgan, и компания обезопасила ее в течение четырех дней. Получили ли доступ к бакету посторонние, неизвестно. Клиентам логистического гиганта рекомендуется проявлять бдительность и быть готовыми к фишингу и спам-атакам.