两家在线 PDF 制造商泄露了数以万计的用户文件,其中包括用户护照、驾驶执照、证书和上传的其他个人信息。
随着我们对快速制作 PDF 和提交表格的需求越来越大,市面上出现了很多在线 PDF 制作商,但被这些服务商获取的用户数据真的安全吗?
Cybernews 研究小组发现,PDF Pro 和 Help PDF 这两家在线 PDF 制作商泄露了共 89000 多份文件。
目前为止,暴露的 Amazon S3 存储桶呈开放状态,任何人都能够获取其中的数据。此外,用户仍在持续上传文档,对其个人数据正在发生泄露并不知情。
严重的安全风险
PDF Pro(pdf-pro.io)和 Help PDF(help-pdf.com)似乎是由同一个英国法律实体运营的,且采用了相同的设计。它们向用户提供 PDF 转换工具、压缩工具、编辑工具及签署文档的选项。
据该团队称,暴露的内容包含用户上传的文档。截至目前,暴露的文件总数为 89062 个,其中 87818 个通过 PDF Pro 上传,1244 个通过 Help PDF 上传。
文件中包含大量敏感信息,其中包括:
-
护照
-
驾照
-
证书
-
合同
-
其他文件和信息
研究人员说道:“犯罪分子在获得个人文件后,可以利用受害者的身份从事各种欺诈活动,如申请贷款、租赁房产或购买昂贵物品。”
此外,黑客还可以篡改或伪造合同或执照等文件,从而创建虚假身份、捏造资质或操纵法律协议,以此为自己谋利,并可能给受害者带来法律问题。
对此,该团队提供了几条防范此类事件再次发生的建议:
-
立即限制公众对信息桶的访问
-
更改数据桶策略和访问控制列表 (ACL),限制授权用户或应用程序的访问权限
-
确保数据桶中的所有对象都设置为私有或配置了适当的访问控制
-
在数据桶上启用服务器端加密,以保护静态数据。管理员可根据需求选择 SSE-S3、SSE-KMS 或 SSE-C
(转载请注明出处@安全威胁纵横,本文来源:https://cybernews.com/security/online-pdf-maker-leaks-user-documents/)
原文始发于微信公众号(安全威胁纵横):在线 PDF 制作工具泄露数万份用户文件