这家位于土耳其的汽车租赁服务公司开放了 Azure Blob 存储,泄露了客户为使用该公司服务而提交的数十万张文档图像。
随着旅游旺季的临近,不少度假者开始在国外预订租车。然而,正如 Cybernews 研究团队的最新发现所示,向这些服务提交身份证明文件可能会付出一定的代价。
例如,土耳其最大的汽车租赁公司之一 Rent Go 可能无意中暴露了数十万客户的信息。该团队发现了一个暴露的 Azure Blob 实例,其中包含超过 322,000 条记录,其中包含护照或驾驶执照详细信息。
由于记录数量代表双方复制的文档,因此暴露的文档数量只有一半,略多于 161K。
企业使用 Azure Blob 来存储大量频繁更新的数据,例如存储客户提交的 ID 记录的存储库。
泄露数据的样本。图片来自网络新闻。
该团队于 2023 年 11 月上旬发现了该开放实例,并于当天联系了该公司。我们已联系 Rent Go 寻求官方评论,但在发表本文之前尚未收到回复。
我们的研究人员推测该实例在发现之前至少已经暴露了一个月。此外,尽管团队努力向公司通报该问题,但 Rent Go 并未保护暴露的 Azure Blob。
暴露实例中包含的信息与租赁服务客户为获得服务而需要提交的必要文件相对应,即政府颁发的身份证或驾驶执照等身份证明文件。
泄露数据的样本。图片来自网络新闻。
该实例包含 2019 年 8 月提交的文件,并且是实时更新的,这意味着过去 4.5 年来使用过 Rent Go 服务的任何人都可能已经暴露了自己的数据。
虽然大多数暴露的数据似乎属于土耳其公民,但暴露的实例中也存在欧盟公民文件。
研究人员表示:“此次泄露构成了重大威胁,因为恶意行为者可能会参与身份盗窃、欺诈活动,甚至在暗网上出售文件,从而对受影响的客户造成严重的财务和个人安全影响。”
Rent Go 总部位于伊斯坦布尔,在土耳其 20 多个城市设有 65 家分支机构。该公司声称拥有 1,000 多名员工。
发表评论
您还未登录,请先登录。
登录