目录导航
在 Noam Rotem 和 Ran Locar 的带领下,vpnMentor 的研究团队最近发现,消费音频巨头 Sennheiser 不小心将一个充满客户数据的旧云帐户暴露在外。
尽管该账户自 2018 年以来似乎一直处于休眠状态,但仍有超过 28,000 名 Sennheiser 客户暴露在外,敏感的私人数据被泄露。
数据可能很旧,但对犯罪分子和黑客来说仍然很有价值,而且泄漏本身可能会更糟。它代表了一家大型跨国知名公司的大规模监督。
数据泄露摘要
| 公司 | Sennheiser |
| 总部 | 德国威德马克 |
| 行业 | 音频 |
| 以千兆字节为单位的数据大小 | 55GB |
| 文件数量 | 407,000+ |
| 暴露人数 | 28,000+ |
| 日期范围/时间线 | 15 年 12 月 – 18 年 3 月 |
| 地理范围 | 全世界 |
| 暴露的数据类型 | PII数据;数据库备份 |
| 潜在影响 | 身份盗窃;税务欺诈; 保险欺诈;邮件欺诈;银行账户接管;借记卡或信用卡欺诈;抵押贷款欺诈 |
| 数据存储格式 | 错误配置的 AWS S3 存储桶 |
公司简介
森海塞尔于 1945 年由弗里茨森海塞尔博士在德国韦德马克镇创立。直到今天,它仍然是一家位于威德马克的私人家族企业。
该公司生产用于个人和商业用途的高质量音频设备,包括麦克风、耳机、录音设备和航空耳机。
Sennheiser 在全球 50 多个国家/地区开展业务,拥有约 2,800 名员工,2019 年的年营业额为 7.567 亿欧元。
发现和所有者反应的时间表
- 发现日期: 2021 年 10 月 26 日
- 联系供应商的日期: 2021 年 10 月 28 日
- 回复日期: 2021 年 11 月 1 日
- 行动日期: 2021 年 11 月 1 日
有时,数据泄露的程度和数据的所有者是显而易见的,问题很快就会得到解决。但这些时候很少见。在我们了解什么是利害关系或谁在公开数据之前,我们通常需要进行数天的调查。
了解违规行为及其潜在影响需要仔细的关注和时间。我们努力发布准确可靠的报告,确保每个阅读报告的人都了解其严重性。
一些受影响的各方否认事实,无视我们的研究或淡化其影响。因此,我们需要彻底并确保我们找到的一切都是正确和准确的。
在这种情况下,Sennheiser 使用 Amazon Web Services (AWS) S3 存储桶来存储通过其各种活动从公众收集的数据。S3 存储桶是一种流行的企业云存储解决方案。但是,由用户正确定义安全设置以保护存储在其中的任何数据。
Sennheiser 未能对其 S3 存储桶实施任何安全措施,使内容完全暴露,任何拥有网络浏览器和技术技能的人都可以轻松访问。
由于多种因素,我们很快将 Sennheiser 确定为数据的所有者,包括带有公司名称的文件和存储在存储桶基础设施中的 Sennheiser 员工。
在我们确认 Sennheiser 应对数据泄露负责后,我们联系了该公司以通知它并提供我们的帮助。几天后,Sennheiser 回复并要求我们提供调查结果的详细信息。我们披露了指向不安全服务器的 URL,并提供了有关其中包含的内容的更多详细信息。尽管没有再次收到公司的回复,但几小时后服务器就得到了保护。
S3 存储桶中的条目示例
Sennheiser 使用其 S3 存储桶存储来自 28,000 多个客户的超过 55 GB 的数据,这些数据是在 2015 年至 2018 年期间收集的。
虽然尚不清楚所有这些数据是如何收集的,但它似乎来自要求 Sennheiser 产品样品的客户和企业。结果,大量个人身份信息 (PII) 数据在违规行为中暴露,包括:
- 全名
- 电子邮件地址
- 电话号码
- 家庭住址
- 索取样品的公司名称
- 提出要求的公司员工人数
S3 存储桶还包含一个 4 GB 的数据库备份,但这是受到保护的,出于道德原因,我们没有尝试获取访问权限。
虽然数据泄露影响了 Sennheiser 的全球客户和供应商,但大多数受影响的人都在北美和欧洲。
数据泄露影响
如果恶意或犯罪黑客在 Sennheiser 的 AWS 账户受到保护之前发现了它,他们可能会在各种犯罪计划中使用暴露的数据。
暴露的数据足以让熟练的黑客实施许多最常见的欺诈形式,包括:
- 身份盗窃
- 税务欺诈
- 保险欺诈
- 邮件欺诈
- 银行账户接管
- 借记卡或信用卡欺诈
- 抵押贷款欺诈
- 还有很多…
但是,即使暴露的数据不足以用于获取犯罪收益,它也可以用于执行复杂的网络钓鱼活动。
在网络钓鱼活动中,犯罪分子会向受害者发送模仿真实企业和组织的虚假电子邮件和短信。通过建立受害者的信任,他们希望诱使他们采取以下任何行动:
- 提供可用于上述欺诈活动的其他 PII 数据(即社会安全号码)或私人信息(即银行帐户详细信息)。
- 将借记卡或信用卡详细信息输入到一个虚假的支付门户中,这样它们就可以被犯罪分子窃取和使用,或在暗网上出售。
- 单击嵌入了感染用户设备的恶意软件(例如恶意软件、间谍软件和勒索软件)的链接。
如果数据是使用“请求样本”类型的表格收集的,网络犯罪分子可以使用这些详细信息来创建令人难以置信的冒充 Sennheiser 的网络钓鱼电子邮件,并诱骗以前的客户提供额外的个人信息或单击恶意链接。
此外,由于在这次数据泄露中暴露的人数众多,网络犯罪分子只需要成功骗取一小部分,任何犯罪计划就可以被视为成功。
对于森海塞尔
由于 Sennheiser 总部位于欧洲,并且此次泄密影响了许多欧洲公民,因此该公司在欧盟的 GDPR 管辖范围内。因此,它必须报告数据泄露并立即修复导致其服务器暴露的漏洞。否则,它可能面临监管机构的进一步调查和罚款。
Sennheiser 还可能面临公众和媒体的审查,因为他们将如此多的人暴露在欺诈和在线攻击之下。该故事产生的任何负面宣传都可能将潜在客户引向其在音频行业的众多竞争对手之一。
对这些结果中的每一个做出反应都会对公司的财务造成代价高昂的代价。
专家建议
如果 Sennheiser采取了一些基本的安全措施,它本可以轻松避免暴露其客户的数据。这些包括但不限于:
- 保护其服务器。
- 实施适当的访问规则。
- 永远不要让不需要身份验证的系统对互联网开放。
- 正在存储但未使用加密敏感数据。
任何公司都可以复制相同的步骤,无论规模大小。
有关保护您的业务的更深入指南,请查看我们的指南,以保护您的网站和在线数据免受黑客攻击。
保护开放的 S3 存储桶
需要注意的是,开放、可公开查看的 S3 存储桶并不是 AWS 的缺陷。它们通常是存储桶所有者出错的结果。Amazon 向 AWS 用户提供了详细说明,以帮助他们保护 S3 存储桶并保持其私密性。
对于 Sennheiser,修复此错误的最快方法是:
- 将存储桶设为私有并添加身份验证协议。
- 遵循 AWS 访问和身份验证最佳实践。
- 为他们的 S3 存储桶添加更多保护层,以进一步限制谁可以从每个入口点访问它。
对于森海塞尔客户
如果您是 Sennheiser 的客户并且担心这次违规可能会对您造成什么影响,请直接与该公司联系以了解它采取了哪些措施来保护您的数据。
要了解一般数据漏洞,请阅读我们的在线隐私完整指南。它向您展示了网络犯罪分子瞄准互联网用户的多种方式,以及您可以采取的确保安全的步骤。
我们如何以及为何发现漏洞
vpnMentor 研究团队发现 Sennheiser 的数据泄露是一个庞大的网络地图项目的一部分。我们的研究人员使用大型网络扫描仪来搜索包含不应公开信息的不安全数据存储。然后他们检查每个数据存储是否有任何数据泄露。
我们的团队能够访问此 S3 存储桶,因为它完全不安全且未加密。
每当我们发现数据泄露时,我们都会使用专家技术来验证数据的所有者,通常是商业企业。
作为道德黑客,当我们发现公司的在线安全存在缺陷时,我们有义务通知该公司。我们与 Sennheiser 联系,不仅让其了解该漏洞,而且还建议如何确保其系统安全。
这些道德规范也意味着我们对公众负有责任。Sennheiser 的用户必须意识到暴露了大量敏感数据的数据泄露。
这个网络地图项目的目的是帮助所有用户提高互联网的安全性。
我们没有证据或方法知道我们报告中的数据是否已被其他任何人访问或泄露;只有桶的所有者才能知道这一点。
我们尽最大努力通过与公司联系并确保他们尽快保护泄露的数据库来防止这种情况发生。
我们绝不会出售、存储或公开我们在安全研究期间遇到的任何信息。
转载请注明出处及链接