HackerNews 编译,转载请注明出处:
一家司机合规平台发生严重数据泄露,超过一万名德州卡车司机的个人文件,包括药检结果和其他敏感信息被。
Cybernews研究团队接到匿名举报,发现一个未加密的Amazon S3存储桶,里面包含大量个人可识别信息(PII)。
泄露的云存储中包含:超过 18,000份社会安全卡照片,超过 23,000份驾照图片,责任保险卡,药检结果,劳动合同,背景调查同意书,车辆保险卡,员工授权书,车辆检查结果以及其他敏感文件。
调查发现,这一泄露源头是总部位于德州的 AJT Compliance, LLC,该公司帮助企业满足政府法规要求。泄露的数据可能来自该公司专门用于管理美国交通部合规流程的 “DOT SHIELD”平台。
该AWS存储桶中包含的数据从2022年至今都有记录,在调查期间甚至还不断有新文件被上传。
受影响人员主要来自德州,或受雇于在德州注册的物流公司。
德州是美国物流业的领军州,重型和牵引式卡车司机数量全美最多。根据美国劳工统计局的数据,截至2023年,德州拥有超过 212,000名重型和牵引式卡车司机,以及 72,720名轻型卡车司机(数量位居全美第三)。本次数据泄露可能影响到该州 10%的卡车司机。
Cybernews研究团队指出:“这起事件尤其令人担忧,因为一个旨在确保合规的平台,反而泄露了与美国交通部要求相关的高度敏感个人信息。”
研究人员警告,泄露的数据极其危险,可能被用于诈骗或身份盗窃。“在恶意分子手中,这些信息可以被用来开设信用账户、冒领社会安全福利,甚至实施人肉搜索(doxxing)。”
Cybernews已联系 AJT Compliance。该公司确认,其测试系统所使用的Amazon S3存储容器被错误地设置为“公共读取和列表权限”。
在收到负责任的漏洞披露后,相关数据已被保护。
这并不是美国公民数据首次被第三方服务提供商泄露。
去年,Cybernews研究发现,背景调查服务商 Protection Plus Solutions 泄露了数千份PDF文件,其中包含社会安全号码、护照信息以及马萨诸塞州的犯罪记录。
2023年,负责职业安全培训的 美国国家安全委员会(NSC) 泄露了近 10,000份电子邮件和密码,波及2000家机构,其中包括 NASA、美国司法部(DoJ)、Verizon、Tesla和Pfizer 等政府与企业组织。
消息来源:cybernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
