FormGet安全失效暴露了数千个敏感的用户上传文件

FormGet自称是一家位于印度博帕尔的在线表格制作商和电子邮件营销公司。该公司允许其43,000名客户创建在线表格，以便其他人可以提交简历或申请工作，或提供地址或工作证明，在线购买商品等。我们怎么知道?因为该公司将其中一个云存储服务器保持在线并且没有密码而暴露在外。一位匿名安全研究人员发现了FormGet公开的Amazon S3存储桶，并告知TechCrunch希望获得数据安全。FormGet在我们于周三联系该公司后一夜之间将该桶拉下线。但该公司的创始人兼首席执行官Neeraj Agarwal没有回复几封要求置评的电子邮件和后续行动。

存储桶中包含数十万个文件和文档。存储桶每年都有一个文件夹，其历史可以追溯到2013年，每个月都包含子文件夹，其中包含用户上传的文档。

我们审核的部分文件包含高度敏感的信息，包括：

扫描几本护照 - 包括美国护照 - 和其他扫描文件，如支票，社会安全号码，驾驶执照，国民身份证等;

退伍军人事务部的信件，证明前服务连接残疾补偿的退伍军人，包括支付的金额;

获得的贷款和抵押的详情，包括金额，利率和历史，以及银行账户报表，燃气账单，现役表格的军事排放和其他类似的居住证明;

文件1

在公开的服务器上找到的几个居住证明文件，包括银行和贷款声明(图片：TechCrunch)

一些内部公司文件，包括标有“机密”和“仅供内部使用”的几家银行和金融机构的网络安全评估摘要;

UPS运输标签，包括姓名和电话号码以及运输内容;

护照

FormGet公开的许多文件的两本护照(图片：TechCrunch)

简历，包括姓名，邮政和电子邮件地址，电话号码，教育背景和工作经历;

来自Google，Zoom甚至FormGet本身的发票，用于结算服务 - 在某些情况下包括姓名，地址和部分信用卡号码;

和几个航空公司和酒店预订收据。

这些类型的数据暴露 - 私人数据被错误公开 - 多年来已经成为一个常见的安全问题。有几种无意的数据泄露事件将存储服务器权限更改为公共。今年早些时候，数以百万计的抵押文件被曝光。在类似的数据泄漏中，刮掉的Facebook数据也被抢购一空。去年，由于配置错误，整个华盛顿州的互联网提供商都将其“关键王国”暴露出来。

虽然公司经常将人为错误暴露出来，但事实上，无意中将私有云数据公之于众。

一位高级云安全工程师在TechCrunch的背景下发言说，主要的云服务在默认情况下努力保持数据安全。

“就亚马逊而言，S3存储桶的默认设置是私有的 - 不允许直接未经授权的互联网访问，”工程师说。亚马逊还提供免费工具，用于扫描用户的云基础架构以查找错误配置。

“当大量泄密的消息中有这些报道时，将责任归咎于云提供商变得越来越困难，”工程师说。“在过去几年的任何安装中，开发人员都不得不竭尽全力揭露这些记录。”

“一旦一个组织以这种非常疏忽的方式泄露数据，他们几乎没有责备自己，”工程师说。