大量数据未加密且没有任何密码或安全身份验证。
WizCase 团队的 IT 安全研究人员团队发现了一个属于在线艺术品零售服务 Artwork Archive的配置错误的 Amazon S3 存储桶。该事件影响了约 7,000 名客户,包括画廊、艺术家和收藏家。
私人和购买数据暴露
由 Ata Hakçıl 领导的团队报告说,错误配置暴露了敏感的用户数据,包括用户的姓名、实际地址、电子邮件地址和其他敏感数据。暴露的记录可追溯到 2015 年 8 月。
此外,由于 WizCase 的团队确定了近 9,000 张发票,包括销售协议、艺术品价格和收入报告,错误配置还暴露了购买细节。
除此之外,包含客户全名、电子邮件、公司隶属关系、城市、居住国、电话号码和其他信息等详细信息的导出合同也是云存储的一部分。
库存报告揭示了艺术家、买家和画廊拥有的艺术品的详细信息,其中包括 Joan Miro 和 Marc Chagall 等知名艺术家。
这些联系人通常是通过联系人管理功能添加到 Artwork Archive 的艺术家的联系人,包括艺术机构、个人艺术家、艺术收藏家、朋友和家人,” WizCase 研究人员在一篇博客文章中写道。
数据没有任何保护
研究人员声称数据不受密码或登录凭据的保护,甚至没有加密,这就是任何人都可以访问信息的原因。大约一个月前,WizCase 通知平台有关一个开放的 S3 存储桶。
据研究人员称,该公司将可公开共享的报告存储在此存储桶中。该漏洞暴露了超过 200,000 个属于 Artwork Archive 的文件,共计 421GB 的暴露数据。该桶于 5 月 23 日被发现,并于 5 月 26 日固定。
关于艺术品档案
位于科罗拉多州丹佛的服务为艺术家、收藏家和组织提供了一个独一无二的平台,以便对其艺术品进行恰当和安全的管理/销售。该公司以订阅方式提供软件解决方案来管理艺术品的买卖。
此外,一些著名的客户包括奢侈品连锁店 Neiman Marcus、艺术家 Oliver Jeffers 和 Robert Farber,以及常春藤盟校布朗大学。
(来源:HackRead)