数字钱包app Key Ring在配置错误的云数据库中暴露用户数据

Key Ring数字钱包应用程序的1400万用户的数据已被发现暴露在多个AmazonWe bServicesInc.S3桶上。

安全研究人员Noam Rotem和Ran Locar今天在VPN Mentor发现并公布了这一漏洞。 该应用程序主要用于上传忠诚卡的扫描和照片，也被许多用户用来存储驾照、信用卡等副本。

暴露的S3桶，总共5个，已被错误配置，并设置为公共，包括4400万图像。 除了信用卡和驾照外，其他图像还包括医疗保险卡、政府身份证、礼品卡，甚至国家步枪协会会员卡。

Key Ring与其消费者应用程序一道，还为多个美国零售品牌提供营销平台。 在桶上还发现了CSV文件，详细说明了许多Key Ring公司客户的成员名单和报告，其中包括数百万人的个人身份信息。

这些数据库是在1月份首次发现的，与该公司联系了2月18日。 数据库于2月20日离线。

研究人员指出，他们不能肯定没有人在通知Key Ring之前找到S3桶并下载数据，他们说“如果恶意黑客发现了这些桶，对Key Ring用户（以及公司本身）的影响将是巨大的。

该公司本身并未对该报告发表公开评论。

“开发人员可以采取“最小可行产品”来表示“这项工作是否有效”——他们经常忘记将安全性添加到他们的生存能力方程中，”培训公司LucySecurityAG的网络安全传道人帕特里克·汉(Patrick Hamilton)硅谷说。 “对于钥匙环，说基本的安全卫生意味着遵循随S3桶而来的指示似乎过于简单。

至于关键环用户，汉密尔顿补充说，“有一个最低的方便成本：他们现在将不得不对他们收到的每一封电子邮件高度警惕。 使用这种信息级别的钓鱼攻击很容易就会通过防火墙。

显示您对我们的任务的支持，我们的一键订阅我们的优管频道（下面）。 我们拥有的用户越多，你就越能向你推荐相关的企业和新兴技术内容。 谢谢！

支持我们的使命：>；>；>；SUBS CRIBE NOW>；>；>；到我们的优管频道。

我们还想告诉你我们的使命，以及你如何帮助我们完成它。 硅谷媒体公司的商业模式是基于内容的内在价值，而不是广告。 与许多在线出版物不同，我们没有付费墙或经营横幅广告，因为我们希望保持我们的新闻开放，没有影响或需要追逐流量。 硅谷的新闻、报道和评论-以及我们硅谷工作室的现场、未经剪辑的视频和CUBE的环球视频团队-需要大量的艰苦工作、时间和金钱。 保持高质量需要赞助商的支持，他们与我们的无广告新闻内容的愿景一致。

如果您喜欢这里的报道，视频采访和其他无广告内容，请花点时间查看我们的赞助商支持的视频内容样本，推特您的支持，并继续回到硅安格尔。