Security Affairs 網(wǎng)站披露，為英國多個(gè)政府部門提供服務(wù)的設(shè)施管理和安全公司 MPD FM “遺留”一個(gè)開放實(shí)例，暴露出大量人員的護(hù)照、簽證等敏感數(shù)據(jù)信息。

MPD FM 成立于 2003 年，總部位于倫敦，主要為英國國家醫(yī)療服務(wù)體系（NHS）、英國稅務(wù)海關(guān)總署（HM Revenue&Customs）、英國各行政區(qū)和議會(huì)、英國零售商 WHSmith 以及其它實(shí)體組織提供設(shè)施管理和安全服務(wù)，目前擁有 500 名員工，號(hào)稱英國領(lǐng)先的 "設(shè)施管理公司"。

近期，Cyber news 安全研究團(tuán)隊(duì)發(fā)現(xiàn)已關(guān)閉的亞馬遜簡(jiǎn)單存儲(chǔ)服務(wù)（S3）中某個(gè)數(shù)字?jǐn)?shù)據(jù)文件庫，向任何有能力掃描打開網(wǎng)絡(luò)的訪問者“開放了”16000 多份敏感文檔。研究團(tuán)隊(duì)推斷暴露的信息屬于 MDP FM，目前已聯(lián)系了 MPD FM ，但截至本文發(fā)布前仍未收到回復(fù)。

被曝光的文件泄露了包括護(hù)照、VISA、國家身份證、駕駛執(zhí)照、出生證明、審查報(bào)告、工作權(quán)利檢查、工作合同、地址證明、銀行對(duì)賬單等大量敏感隱私信息。

Cyber news 研究小組人員指出攻擊者很容易利用暴露的信息進(jìn)行身份盜竊。例如，惡意攻擊者可以冒充受害者創(chuàng)建虛假賬戶，進(jìn)行未經(jīng)授權(quán)的交易。威脅攻擊者還可以利用員工數(shù)據(jù)設(shè)計(jì)出有針對(duì)性的電子郵件或發(fā)起社會(huì)工程攻擊，包含民眾私生活和職業(yè)生活的信息使攻擊者能夠更容易誘使受害者披露敏感信息或采取危及組織安全的行動(dòng)。

網(wǎng)絡(luò)安全專家強(qiáng)調(diào)，即使看似微不足道的個(gè)人信息泄露，經(jīng)過整理后也會(huì)產(chǎn)生破壞性影響。數(shù)據(jù)被泄露的受害者往往意識(shí)不到自己的信息已經(jīng)泄露，因此不會(huì)采取任何行動(dòng)來減輕后果。

最后，Cyber news 團(tuán)隊(duì)建議 MPD FM 或其它處理類似問題的組織立即限制公眾訪問已暴露的實(shí)例，并追溯檢查訪問日志中是否有任何未經(jīng)授權(quán)的入侵，無論誰在“控制”亞馬遜 S3 存儲(chǔ)桶，都應(yīng)使用服務(wù)器端加密來保護(hù)敏感文件。