• 發布單位:TWCERT/CC
• 更新日期:2020-05-26
• 點閱次數:1301

英國資安廠商近期發現 AWS 上的一個未保護檔案庫，內含數十萬張美國各電信服務商的用戶帳單，而且未經任何保護。


據英國資安廠商 Fidus Information Security 指出，該公司發現的手機帳單檔案庫，內含 261,300 個手機帳單文件檔案，帳單日期最早可追溯自 2015 年。

這些帳單內含的個資包括用戶姓名、帳單地址、手機號碼；多數帳單上還包括通聯記錄列表；檔案庫中甚至還有若干更加敏感的個資，例如含有用戶登入資訊、金融密碼的網路銀行頁面擷圖等。

這些帳單是由美國電信業者 Sprint 的外包廠商外洩出去。用戶自其他電信業者轉換至 Sprint 時，會提供過往的帳單給 Sprint，以取得轉換費用的補償。Sprint 說，該公司約聘人員誤將這些檔案放上 AWS。

在 Fidus Information Security 通報 Amazon 後，這個檔案庫立即就下線了；但目前無法得知檔案庫曝露在網路上有多久，也不知道是否已有資料遭人下載利用。