planet研究團隊發現了壹個影響美國批發和物流平臺ePalletInc的數據曝光。
EPallet是壹個B2B品牌,為零售商和制造商提供供應鏈解決方案。
該公司擁有的亞馬遜S3桶配置錯誤,在此過程中暴露了數百家其他公司的數據。
暴露的公司數據ePallet的桶是開放的,沒有任何密碼保護。因此,該公司的AWSS3 bucket暴露了超過250萬個文件,相當於超過600GB的數據。
在曝光的文件中,有多種形式的敏感數據與ePallet以及通過ePallet平臺訂購、銷售和交付貨物的公司有關。
我們在bucket上發現了五個獨立的數據集,這些數據集暴露了ePallet及其合作夥伴和客戶:訂單和賬單、訂單附件、客戶相關文檔、雜項認證和ePallet信用申請。
訂單和票據訂單和票據(或者更準確地說,“提單”單據)概述了企業通過ePallet平臺買賣批發商品的交易。桶裏有上百個這種類型的文件。
訂單和賬單會暴露電子錢包客戶和合作夥伴的敏感數據,包括:
公司詳細信息,如公司名稱以及買方和供應商的地址。承運人信息,即每個承運人公司的名稱和地址。運輸信息,如訂購的貨物、提貨/交貨日期、重量和數量。註意:提單是托運人和承運人之間的文件。它詳細說明了承運人要求的貨物和訂單信息,也可用作收據。
妳可以在下面的截圖中看到訂單和賬單的例子。
訂單附件附在客戶訂單上的訂單附件。我們在桶裏發現了數千份這種類型的文件。
訂單附件會影響客戶和合作夥伴的詳細敏感數據:
運輸信息,有時在可掃描的條形碼中。
妳可以在下面看到訂單附件的證據。
客戶相關文件在錯誤配置的存儲桶上發現了客戶相關文件。這些好像是ePallet收集的關於企業使用ePallet平臺的文檔。
與客戶相關的文檔包含壹系列敏感的客戶數據:
公司名稱公司地址S3聯系方式詳細信息,包括公司電話號碼,傳真號碼和電子郵件地址S3財務信息(在某些情況下),即公司收入3其他各種公司詳細信息,即公司年齡,員工人數等。
與客戶相關的文件有不同的類型,包含大量的信息,其中壹些不在本報告中總結。這些文件包括公司簡介(公司詳情報告)、其他企業的信貸申請和稅務相關文件。EPallet需要經銷商許可證和納稅身份證明(針對非營利組織),這可能解釋了其中壹些文檔。
妳可以在下面的截圖中看到與客戶相關的書證。
其他證書其他證書也存儲在桶上。這些證書似乎是授予通過電子錢包銷售商品的公司的。這些證書由許多機構頒發,用於許多不同的目的。例如,證書是授予食品公司的“猶太證書”,表明其產品已獲得猶太機構的批準。
雖然證書並沒有具體說明大量的供應商數據(通常是公司名稱和證書細節),但它們的存在可能被用來以網絡犯罪的形式對付e-ePallet供應商。
EPallet可能會存儲這些證書作為其存在的證據。妳可以在下面看到其他認證的證據。
信用申請信用申請存儲在壹個開放的AWSS3存儲桶中,該存儲桶公開了與ePallet、其業務運營和員工相關的信息。EPallet向其他企業提交了這些信貸申請。
EPalletcreditapplications披露了各種形式的敏感公司數據:
公司名稱、電話號碼、電子郵件地址、傳真號碼、員工姓名,即首席執行官的姓名以及其他各種公司詳細信息,如公司年齡、房地產租賃/所有權狀態。
下面是壹個信貸申請的例子。
EPallet的AmazonS3 bucket是實時的,被發現時正在更新。AWSS3 bucket(本例中為ePallet)的所有者負責其安全性。所以亞馬遜不是ePallet數據泄露的錯。
根據桶文件夾名稱中4位ID號的數量(每壹個都被認為代表壹個唯壹的業務),我們估計有數百家企業受到ePallet數據泄露的影響。
由於數據泄露,EPallet可能會受到法律制裁。
誰受到影響?ePallet錯誤配置的亞馬遜S3桶暴露了公司數據,以及客戶企業(“買家”使用epallet.com)和合作夥伴(商品制造商/供應商和運營商,它們提供產品在ePallet . com銷售)的數據。
EPallet不在美國以外運營,桶上的所有信息似乎只與美國公司有關。
大公司通過ePallet的網站銷售產品。MMs、Twix、Skittles和Snickers在epallet上被列為“特色供應商”。和壹系列其他受歡迎的“制造合作夥伴”也在這個網站上銷售產品,從吉列到ArmHammer。我們無法確認這些公司中是否有任何壹家披露了有關該桶的信息。誰發布的數據?
EPalletInc。EPalletinc成立於2017,是壹家線上批發供應鏈服務公司,總部位於美國加州阿古拉山。
EPallet的網站(epallet.com)是壹個人工智能驅動的平臺,它連接企業和制造商,並允許零售商直接從源頭購買批發商品的托盤。
除了其“網上批發市場”,ePallet還與運營商合作,為通過網站訂購的商品提供物流解決方案。這簡化了分銷過程,並為制造商和客戶提供了新的商機。
EPallet專營食品,但該公司也銷售超市中可能會有的其他產品,包括嬰兒用品、醫療用品和家居用品。EPallet的員工不到25人,收入不到500萬美元。
對ePallet客戶和合作夥伴的影響我們無法得知無良黑客和惡意參與者是否訪問了open AWSS3 bucket的內容。然而,在這種情況下,ePallet的客戶和合作夥伴可能會在許多方面受到數據泄漏的影響。
BEC、欺詐、網絡釣魚和惡意軟件電子郵件由於這種數據泄露,客戶、供應商和運營商可能會遭受網絡釣魚攻擊、欺詐和惡意軟件攻擊。網絡罪犯可以使用客戶相關文檔中的電子郵件地址和電話號碼來聯系企業。
在網絡釣魚企圖和詐騙中,黑客可以參考其他形式的暴露信息,與受害者建立信任,並描述通信原因。
商業電子郵件泄漏(BEC)攻擊是壹種有針對性的網絡釣魚企圖。犯罪分子使用泄露的電子郵件帳戶向用戶發送消息,假裝是已知的來源,並有合法的聯系理由。鏟鬥上顯示的聯系信息、員工姓名和交貨信息使BEC成為可能。
例如,黑客可能通過偽裝成運營商、產品供應商或電子錢包的代表來聯系客戶。黑客可以參考訂單/交付細節來與受害者建立信任,並聲稱交付有問題。
黑客可能會聯系聲稱代表客戶或電子錢包的供應商或運營商。同樣,黑客可能會參考訂單的細節來暗示有問題。也許,黑客聲稱他們需要退款,因為有些訂單還沒有到。
黑客還可以利用公司詳細信息、財務信息或證書來圍繞他們的通信建立壹個敘述。
壹旦受害者信任網絡罪犯,攻擊者就可能試圖從受害者或受害企業那裏獲取個人或敏感信息。這被稱為網絡釣魚企圖。黑客也可能試圖說服受害者點擊惡意鏈接。壹旦被點擊,惡意鏈接可以將惡意軟件下載到受害者的設備上,以補充進壹步的網絡犯罪。
網絡罪犯也可以利用這種信任誘使受害者參與流行的欺詐。例如,黑客可以在假發票騙局中說服企業支付假發票,或者在退款騙局中提交欺詐退款。
盜竊、搶劫、入室盜竊根據訂單的高價值或桶上的財務信息,企業可能成為攻擊的目標。
訂單和貨物也可能成為盜竊和搶劫的目標。已經公布了各種訂單和發貨信息,包括承運商信息、發貨日期、發貨地址和發貨日期。