美国物流巨头DW Morgan泄露了100GB客户数据

美国物流巨头DW Morgan泄露了100GB客户数据

公司名称及所在地: DW Morgan,总部位于美国

大小(以 GB 和记录数量为单位): 100+ GB 的数据,超过 250 万个文件

数据存储格式: AWS S3 存储桶

受影响国家:全球

网站星球的安全团队发现影响数据泄露DW Morgan,总部设在美国的跨国公司的供应链管理和物流公司。

DW Morgan 拥有的 Amazon S3 存储桶在没有适当授权控制的情况下可以访问,暴露了与货运和公司客户相关的敏感数据。

作为市场领导者,DW Morgan 为世界上一些最大的公司提供服务,并且有一些主要的财富 500 强组织数据被泄露.

客户数据暴露

DW Morgan 拥有的 Amazon S3 存储桶配置错误,暴露了超过 250 万个文件,相当于超过 100GB 的数据。这些文件与 DW Morgan 的客户及其货物有关。

这些客户中有来自美国和世界各地的大型企业,包括一些财富 500 强公司。

我们在桶上发现了五个不同的数据集。每个数据集都存储在相应的文件夹中。

其中三个数据集包含敏感的客户数据员工 PII

  • 运输计划和协议
  • 处理照片
  • 附件

两个数据集似乎暴露了PII敏感数据,但我们不确定这些数据到底暴露了谁(或者,在某些情况下,“是什么东西”):

  • 签名
  • 未知文件

运输计划和协议为每个暴露的 DW Morgan 客户概述了运输过程的每一步。这些信息包括送货司机、仓库员工和安保人员商定的行动方案。存储桶上有超过 150 个这样的文件,它们暴露了敏感的客户数据和员工 PII 的形式

  • 工艺细节,包括 商定的货物装载、交付和安全程序。
  • 客户设施的设施位置
  • 全名客户,第三方,和DW摩根的员工。
  • 客户、第三方和 DW Morgan 员工的电话号码(办公室和手机)。
  • 客户、第三方和 DW Morgan 员工的电子邮件地址

过程照片包含作为装运过程的一部分拍摄的图像。这些图像很可能是员工根据 DW Morgan 的标准操作程序拍摄的,用于记录货物和文件。存储桶上有超过 800,000个这样的文件,其中大约 400,000个是独一无二的。这些文件暴露了敏感的客户端数据,包括:

  • 现场文件的图像,例如提单
  • 货物损坏的出货量
  • 出货照片
  • 包装标签照片

附件包括可能来自 DW Morgan 的 CMS 或电子邮件系统的发票、运输标签和装箱单。这些文件包含有关 DW Morgan 的客户和第三方员工(即 DW Morgan 客户的供应商)的信息。DW Morgan 的存储桶中有超过 10,000个此类文件泄露了敏感客户数据员工 PII 的示例

  • 订购的商品
  • 为商品支付的价格
  • 送货地址
  • 账单地址
  • 发票日期
  • 第三方雇员的全名
  • 第三方员工的电话号码
  • 第三方员工的电子邮件地址
  • 运输条码

最后两个数据集公开了某些形式的数据,但我们并不完全确定这些数据属于谁。

存储桶上有签名。虽然没有关于签名的其他信息,但据推测它们与货物取件/卸货有关。他们可以揭露 DW Morgan 的员工或其客户。我们在存储桶中发现了超过 150 万个此类文件。暴露PII 的签名

  • 数字签名(书面,未扫描)
  • 全名,可在某些签名中识别

存储桶上也出现了未知文件。有超过 100,000个这样的文件未知文件似乎显示代码以及位置和公司名称。但是,如果没有更多可用信息,就很难辨别这些文件泄露的是谁或泄露了什么。

DW Morgan 的开放式 Amazon S3 存储桶在发现时处于活动状态并正在更新。我们在存储桶中发现了 2013 年至 2021 年末的文件

亚马逊不负责 DW Morgan 存储桶的管理,因此,对此次数据泄露没有责任。

我们知道,许多企业都受到这种数据泄露的影响。

运输计划和协议中的许多暴露的装运流程都将 DW Morgan 的客户视为高度安全的负载。此外,包括财富 500 强公司 Cisco 和全球 500 强公司爱立信在内的大型公司的交付文件都被暴露在文件中。另一家大型企业 Life Technologies 也被暴露在文件中。

我们知道这些企业是客户,因为它们在 DW Morgan 的官方 LinkedIn 简历中有所提及。

美国物流巨头DW Morgan泄露了100GB客户数据
Cisco、LifeTech 和 Ericsson 是 DW Morgan 的客户

运输计划和协议还暴露了客户企业、第三方企业(例如货物供应商)和 DW Morgan 员工的个人数据。

您可以在下方查看上述客户的运输计划和协议的证据。

美国物流巨头DW Morgan泄露了100GB客户数据
思科的装运程序
美国物流巨头DW Morgan泄露了100GB客户数据
Life Technologies的发货程序被曝光
美国物流巨头DW Morgan泄露了100GB客户数据
爱立信文件中暴露的 DW Morgan 联系人
美国物流巨头DW Morgan泄露了100GB客户数据
爱立信货物的包装箱尺寸
美国物流巨头DW Morgan泄露了100GB客户数据
客户端和第三方联系人在不同的文件中公开

处理照片精选各种类型的照片,例如货件、包裹、标签和文件的图像。一些照片描绘了损坏的包裹。人们只能假设照片是由 DW Morgan 司机和/或仓库员工拍摄的。

您可以在下面看到过程照片的证据。

美国物流巨头DW Morgan泄露了100GB客户数据
一个包裹的图片
美国物流巨头DW Morgan泄露了100GB客户数据
图为存储桶上损坏的包裹照片
美国物流巨头DW Morgan泄露了100GB客户数据
包含货件详情的文件照片

附件文件的日期为 2017 年 11 月至 2021 年底。据推测,这些附件是从 DW Morgan 的 CMS 或电子邮件系统收集的。许多发票详细说明了价值约 300,000 美元的高价值订单。

您可以在下图中看到附件的证据。

美国物流巨头DW Morgan泄露了100GB客户数据
思科的发票
美国物流巨头DW Morgan泄露了100GB客户数据
这张发票上的费用将近 350,000 美元
美国物流巨头DW Morgan泄露了100GB客户数据
另一个订单的发货标签

发现的签名日期从 2013 年 6 月到 2021 年底。如果没有更多信息,就无法辨别这些文件是否暴露了客户或 DW Morgan 员工的数据。或者说,是司机、仓库工作人员、送货地点的员工,还是其他相关人员的签名?

您可以在下图中看到签名示例。

美国物流巨头DW Morgan泄露了100GB客户数据
存储桶上的数字签名
美国物流巨头DW Morgan泄露了100GB客户数据
有些人签上了他们的全名

最后,未知文件暴露了各种“入站”和“出站”详细信息以及公司名称。我们认为它们与运输有关。但是,如果没有更多信息或对相关流程的更好理解,就很难确定这一点。

您可以在下图中看到未知文件的证据。

美国物流巨头DW Morgan泄露了100GB客户数据
这份文件提到了不同的地点和公司

我们无法知道坏人是否获得了存储桶的内容。如果恶意行为者访问了存储桶,DW Morgan 及其客户可能成为犯罪活动的目标。

DW Morgan 也可能面临来自多个司法管辖区的法律制裁。

谁受到了影响?

DW Morgan 是一个企业对企业的品牌,因此,该公司泄露的 AWS S3 存储桶暴露了客户企业的信息。

具体来说,一些暴露的客户出现在《财富》杂志的美国 500 强公司名单中,其中包括思科。而爱立信在《财富》杂志的“全球 500 强”榜单中位列全球第 480 位。

DW Morgan 的业务遍及全球。由于 DW Morgan 的贸易范围和规模,来自世界各国的客户都会受到影响。

主要是,暴露的数据与客户企业的出货量有关。但是,有来自客户企业、第三方企业和 DW Morgan 的员工的姓名和联系方式被曝光。

谁暴露了数据?

DW Morgan Company, Inc.成立于 1990 年,为美国和世界其他地区的制造供应链提供运输和物流服务。然而,DW Morgan 不仅仅处理货物的交付。该公司利用其行业知识来提高客户供应链的效率和成本效益。

DW Morgan 总部位于美国内华达州卡森城,年营业额估计为 2.4 亿美元。DW Morgan 在美国的另外 12 个地点设有办事处和配送中心,另外还有墨西哥的 1 个地点、荷兰的 1 个地点以及东亚和东南亚的另外 7 个地点。

我们知道开放的 AWS S3 存储桶属于 DW Morgan,因为文件中提到了该公司。

美国物流巨头DW Morgan泄露了100GB客户数据
文件顶部的公司品牌
美国物流巨头DW Morgan泄露了100GB客户数据
客户的设施位置

对客户的影响

虽然我们不能也不知道恶意行为者是否访问了存储桶的内容,但如果有人下载或读取存储在 DW Morgan 配置错误的存储桶中的敏感数据,暴露的客户端可能面临各种风险。

特别是,企业可能会因为开放的桶而经历犯罪活动和各种形式的网络犯罪。

网络钓鱼和恶意软件

几位客户员工的全名和联系方式被曝光。黑客可以通过网络钓鱼攻击和恶意软件来针对这些人。

黑客可以打电话或发信息给客户员工,参考发货的详细信息(如价格或订购的商品)以伪装成同事、DW 员工或供应商的代表。网络犯罪分子甚至可以使用运输程序的细节来充当送货司机或仓库员工,在此过程中履行其职责。

一旦客户员工信任黑客,黑客就可以尝试从员工那里提取更多信息。黑客可能会向受害者索取个人信息,或者,黑客可能会通过网络钓鱼获取与客户业务相关的行业机密、知识产权和其他形式的敏感公司数据。

网络犯罪分子还可以说服受害者点击恶意链接。一旦点击,恶意链接就可以将恶意软件(malware)下载到用户设备上,以补充其他形式的数据收集和网络犯罪。

DW Morgan 员工和来自第三方企业的员工也暴露了详细信息,这意味着黑客可以切实修改他们的网络钓鱼方法,以获取来自其他组织的数据。

欺诈和诈骗

同样,网络犯罪分子可能冒充同事、DW Morgan 员工或第三方供应商进行欺诈和诈骗。

网络犯罪分子可以联系客户企业及其员工,参考发货细节以建立信任。从这里,黑客可以通过各种骗局来针对员工和客户企业,这些骗局旨在欺骗人们或组织给他们钱。

例如,一种可能的结果是伪造发票骗局。有了存储桶上的发票,黑客就可以说服客户企业,他们需要为商品或 DW Morgan 服务付费。客户的付款将汇入非法银行账户并由黑客收取。

盗窃货物

在 DW Morgan 的开放式存储桶中暴露了大量有关发货和内部流程的详细信息。犯罪分子可以获取存储桶的内容,以盗窃目标仓库、交付地点和客户设施。

黑客可以使用桶的数据来估计高价值货物的位置,甚至伪装成仓库或 DW Morgan 员工来掩盖他们的踪迹或获取更多信息。例如,犯罪分子可以对货物路线上的设施进行响铃,以找出迄今为止哪些设施已收到货物。有了足够的信息,犯罪分子就可以拦截和窃取货物。

因此,第三方员工、客户员工、DW 仓库员工和送货司机也可能面临与犯罪分子发生冲突的风险。

对 DW Morgan 的影响

在公司数据泄露之后,DW Morgan 可能会面临各种损失。影响可能以法律制裁的形式出现。

如上所述,DW Morgan 及其员工可能会受到网络钓鱼、诈骗和货物盗窃的影响。竞争对手的公司实体也可能对 DW Morgan 的存储桶内容感兴趣。

数据隐私违规

DW Morgan 在 10 个不同的民族国家开展业务,公司的服务是全球性的。DW Morgan 的 open bucket 的内容反映了该公司与来自多个不同国家的暴露客户的业务的国际范围。

这意味着 DW Morgan 可能会面临来自多个司法管辖区的调查。

DW Morgan 总部位于美国,主要在其本国开展业务。这意味着联邦贸易委员会 (FTC) 可能会进行调查

FTC 保护客户和客户免受不公平或欺骗性商业行为或做法的影响。数据处理不当可能违反 FTC 法案。FTC 发现任何数据处理不当的企业都可能被处以最高 1 亿美元的罚款,并在最严重的情况下逮捕有罪的个人。

除了美国联邦贸易委员会之外,来自其他司法管辖区的其他几个监管机构也可以调查 DW Morgan。这可能包括英国的信息专员办公室 (ICO)、荷兰数据保护局 (Autoriteit Persoonsgegevens)、日本的个人信息保护委员会 (PPC) 以及来自亚洲和北美的其他各种监管机构。

竞争间谍

DW Morgan 的公开桶可能会使公司面临竞争间谍活动的风险。

在竞争间谍的情况下,在存储桶中有公司利益的组织或实体可能会从黑客​​或网络犯罪分子那里购买其内容。这些实体可能是 DW Morgan 的竞争对手业务,例如物流/供应链管理行业的竞争对手,或者可以使用存储桶数据的营销公司。

有客户、付款条款的发票、高安全性流程的细节以及更多暴露在存储桶上。竞争对手企业或相关方可以研究这些文件,以窃取DW Morgan 的知识产权商业机密

实体还可以联系暴露的 DW Morgan 客户,提供改进的报价,试图从 DW Morgan那里窃取业务

数据泄露的状态

我们在 2021 年 11 月 12 日发现了开放的 AWS S3 存储桶。由于自始至终都引用了 DW Morgan,因此识别存储桶的所有者非常简单。

发现bucket后,Website Planet安全团队于2021年11月12日向DW Morgan发送了消息。我们于2021年11月15日向DW Morgan联系人发送了后续消息,DW Morgan代表在公司专用的隐私电子邮件中进行了回复地址。我们在同一天向该帐户披露了安全漏洞。2021 年 11 月 16 日,DW Morgan 的存储桶被锁定

DW Morgan 迅速回应了我们对此次数据泄露的负责任披露,并以专业和及时的方式采取行动以保护开放的存储桶。

来自 DW Morgan 的回应:

“我们要感谢网站星球负责任地披露了这个漏洞。这使我们能够立即采取必要的行动来纠正问题并防止对我们的客户造成任何重大影响。”

保护您的数据

将信息暴露在存储桶上的企业应采取必要措施来减轻犯罪活动的威胁。

企业应就网络钓鱼、恶意软件、诈骗和其他形式的网络犯罪的威胁对员工进行教育。员工应警惕任何询问个人详细信息或业务运营信息的人。员工应避免向声称代表客户或员工的任何人提供信息,除非该人可以证明其身份。此外,暴露的公司可以实施系统,允许员工在通过电话或电子邮件相互联系时进行身份验证。

DW Morgan 可以考虑对其公开的程序和交付时间进行更改,以减轻盗窃的威胁。公司还应密切监视桶上暴露的任何待处理货物,为潜在的盗窃企图做好准备。

每个组织都应该定期检查其数据库的状态,以确保它们是安全的。

我们如何以及为何报告数据泄露

我们希望帮助我们的读者在使用任何网站或在线产品时保持安全。

不幸的是,大多数数据泄露事件从未被负责的公司发现或报告。因此,我们决定开展这项工作并找出使人们处于危险之中的漏洞。

我们遵循道德黑客的原则并遵守法律。我们只调查我们随机发现的开放、未受保护的数据库,我们从不针对特定公司。

通过报告这些泄漏,我们希望让每个人的互联网都更安全。

from

转载请注明出处及链接

Leave a Reply

您的电子邮箱地址不会被公开。