按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心

:::

數位錢包 App Key Ring 雲端設定錯誤,導致四千四百萬筆用戶個資外洩

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2020-05-20
  • 點閱次數:1511
數位錢包 App Key Ring 雲端設定錯誤,導致四千四百萬筆用戶個資外洩 TWCERT/CC

擁有一千四百萬用戶的數位錢包服務 Key Ring,日前傳出因為雲端資料庫設定錯誤,造成四千四百萬筆各種用戶個資在網路上曝光。

資安廠商 vpnMentor 日前發表研究報告,指出在北美極受歡迎,擁有一千四百萬用戶的數位錢包服務 Key Ring,因為其 AWS 雲端資料庫安全設定有誤,造成四千四百萬筆各種用戶個資在網路上曝光。

Key Ring App 提供的服務,主要是讓用戶掃描拍攝各種會員卡或點數卡,存放在手機上,免去攜帶多張實體卡片的麻煩;很多用戶因為這個 App 的便利性,也會將存有各種敏感個資的其他政府核發身分證明卡片、就醫卡等卡片掃描上傳。

據 vpnMentor 指出,Key Ring 在 AWS 上共有五個設定錯誤的 S3 雲端資料庫,而且全都沒有使用密碼保護;只要知道網址,任何人都能隨意存取資料庫內的大量個資。

據 vpnMentor 統計指出,在這五個資料庫中至少有四千四百萬筆各式資料,包括政府核發的身分識別資訊(包括姓名、生日、性別等)、各式會員卡、點數卡、美國步槍協會會員卡、藥用大麻使用執照、醫保卡等,甚至連信用卡的卡號、用戶姓名、到期日、安全檢查碼等大量個人身分可辨識資訊都包括在內。

vpnMentor 甚至還找到屬於 Key Ring 的其他雲端檔案,包括上述資料庫的快照備份檔案,以及 Key Ring 公司內部資料庫,記錄了用戶姓名、Email、家戶住址、使用裝置名稱、IP 位址、加密的密碼資訊等。

vpnMentor 在發現這批資料的二月中旬,就通報 Key Ring 公司。

 

回頁首