在這篇文章中,公司的數據暴露了誰受到了影響?誰泄露了數據?對ePallet客戶和合作夥伴的影響ePalletInc.數據泄露的狀態保護您的數據如何以及為什麽我們報告數據泄露網站Planet是什麽?公司名稱和地址:ePalletInc.,位於加利福尼亞州,USASize(GB和文件量):超過250萬個文件,總計600+GB的數據編號。受影響的公司:100至200家企業數據存儲格式:亞馬遜S3bucketCountry受影響國家:美國
簡介網站行星研究團隊發現壹個影響美國批發和物流平臺ePalletInc.的數據暴露。
ePallet是壹個企業對企業品牌,為零售商和制造商提供供應鏈解決方案。
該公司擁有的亞馬遜S3存儲桶被錯誤配置,暴露了該過程中數百家其他企業的數據。
暴露的公司數據ePallet的存儲桶處於打開狀態,沒有任何密碼保護。因此,該公司的AWSS3存儲桶暴露了250多萬個文件,相當於超過600GB的數據。
在暴露的文件中,有許多形式的敏感數據與ePallet有關,以及通過ePallet平臺訂購、銷售和交付商品的公司。
我們在bucket上發現了五個獨立的數據集,暴露了ePallet、其合作夥伴和客戶:訂單和賬單、訂單附件、客戶相關文件、雜項認證和ePallet信用申請。
訂單和票據訂單和票據(或者更確切地說是“提單”文件)概述了企業通過ePallet平臺買賣批發商品的交易。桶裏有數百個這種類型的文件。
訂單和賬單暴露了ePallet客戶和合作夥伴的敏感數據,包括:
公司詳細信息,如買家和供應商的公司名稱和地址。承運人信息,即各承運人公司的名稱和地址。發貨信息,例如訂購的貨物、提貨/交貨日期、重量、數量。註:提單是托運人和承運人之間的壹種單據。它詳細說明了承運人所需的貨物和訂單信息,同時還充當收據
您可以在下面的屏幕截圖中看到訂單和賬單的示例。
訂單附件客戶訂單附帶的訂單附件。我們在桶裏發現了數千個這種類型的文件。
訂單附件影響客戶和合作夥伴的詳細敏感數據:
發貨信息,有時在可掃描條形碼S
中,您可以在下面看到訂單附件的證據。
客戶相關文件在配置錯誤的存儲桶上找到了客戶相關文件。這些似乎是ePallet收集的關於使用ePallet平臺的企業的文檔。
與客戶相關的文件包含壹系列敏感的客戶數據:
公司名稱公司地址S3聯系詳細信息,包括公司電話號碼、傳真號碼和電子郵件地址S3財務信息(在某些情況下),即公司收入3各種其他公司詳細信息,即公司年齡、員工人數、,ETC
客戶相關文件的類型各不相同,包含大量信息,本報告中未概述其中壹些數據。這些文件包括公司簡介(關於公司詳細信息的報告)、其他企業的信貸申請以及稅務相關文件。ePallet要求提供轉銷商許可證和(非營利組織)稅務狀況證明,這可能解釋了這些文件的壹部分。
在以下截圖中可以看到與客戶相關的文件證據。
其他證書其他證書也存儲在桶上。這些證書似乎是授予通過ePallet銷售商品的公司的。這些證書由多個機構頒發,用於多種不同的目的。例如,壹份證書是授予壹家食品公司的“猶太教證書”,表明其產品得到了猶太教機構的批準。
盡管證書沒有詳細說明大量供應商數據(通常是公司名稱和證書詳細信息),但它們的存在可能會以網絡犯罪的形式被用來對付ePallet供應商。
ePallet可能會存儲這些認證,作為它們存在的證據。您可以在下面看到其他認證的證據。
信用申請信用申請存儲在打開的AWSS3存儲桶中,該存儲桶公開了與ePallet、其業務運營和員工相關的信息。ePallet向其他企業提交了這些信用申請。
ePalletcreditapplications公開了各種形式的敏感公司數據:
CompanynameFederalIDNumberAddress聯系方式、電話號碼、電子郵件地址、傳真號碼Staffnames,即CEO姓名和各種其他S各種其他公司詳細信息,如公司年齡、房產租賃/所有權狀態
下面概述了壹個信用申請示例。
ePallet的AmazonS3存儲桶是實時的,在發現時正在更新。AWSS3桶的所有者(在本例中為ePallet)負責其安全性。因此,亞馬遜並不是ePallet數據泄露的過錯。
根據bucket文件夾名稱中的4位ID號(每壹個都被認為表示壹個獨特的業務)的數量,我們估計有數百家企業受到ePallet數據泄露的影響。
ePallet可能會因為該數據泄露而受到法律制裁。
誰受到影響ePallet錯誤配置的亞馬遜S3存儲桶暴露了公司數據,以及客戶企業(“買家”使用epallet.com)和合作夥伴(商品制造商/供應商和運營商,這些企業提供在epallet.com上銷售的產品)的數據。
ePallet不在美國境外運營,桶上的所有信息似乎僅與美國企業有關。
大型公司通過ePallet的網站銷售產品。MMs、Twix、Skittles和Snickers在epallet上被列為“特色供應商”。com的登錄頁面,而其他壹系列流行的“制造合作夥伴”也在該網站上銷售產品,從吉列到ArmHammer。我們無法確認這些公司中是否有任何壹家在桶上公開了信息。誰公開了數據
ePalletInc.成立於2017年,是壹家在線批發供應鏈服務公司,總部位於美國加利福尼亞州阿古拉山。
ePallet的網站(epallet.com)是壹個人工智能驅動的平臺,它將企業與制造商聯系起來,允許零售商直接從貨源處購買滿托盤的批發商品。
除了其“在線批發市場”,ePallet還與運營商合作,為通過網站訂購的商品提供物流解決方案。這簡化了分銷流程,同時為制造商和客戶提供了新的商業機會。
ePallet專營食品,但該公司也銷售超市中可能會找到的其他產品,包括嬰兒用品、醫療產品和家居用品。ePallet的員工不到25人,收入不到500萬美元。
對ePallet客戶端和合作夥伴的影響我們無法知道不道德的黑客和惡意參與者是否訪問了開放的AWSS3存儲桶的內容。然而,在這種情況下,ePallet的客戶和合作夥伴可能會因數據泄露而面臨多方面的影響。
BEC、詐騙、網絡釣魚和惡意軟件ePallet客戶、供應商和運營商可能會因為這種數據泄露而遭受網絡釣魚嘗試、欺詐和惡意軟件攻擊。網絡犯罪分子可以使用客戶相關文件中的電子郵件地址和電話號碼聯系企業。
在網絡釣魚企圖和詐騙中,黑客可以參考其他形式的暴露信息,與受害者建立信任,並圍繞通信原因進行敘述。
商業電子郵件泄露(BEC)攻擊是壹種有針對性的網絡釣魚嘗試。犯罪分子利用泄露的電子郵件帳戶向用戶發送消息,同時冒充已知來源,並有合法的聯系理由。聯系方式、員工姓名以及桶上顯示的送貨信息使BEC成為可能。
例如,黑客可能會冒充運營商、產品供應商或ePallet的代表聯系客戶。黑客可以參考訂單/發貨細節,與受害者建立信任,聲稱發貨存在問題。
黑客可能會聯系聲稱是客戶或ePallet代表的供應商或運營商。同樣,黑客可能會參考訂單的細節來暗示存在問題。也許,黑客聲稱需要退款,因為部分訂單尚未送達。
黑客還可以利用公司的詳細信息、財務信息或證書來圍繞他們的通信構建敘事。
壹旦受害者信任網絡罪犯,攻擊者可能會試圖從受害者或受害企業提取個人或敏感信息。這被稱為網絡釣魚企圖。黑客還可能試圖說服受害者點擊惡意鏈接。壹旦點擊,惡意鏈接可以將惡意軟件下載到受害者的設備上,以補充進壹步的網絡犯罪。
網絡犯罪分子還可以利用這種信任誘使受害者參與流行的詐騙。例如,黑客可以說服企業在假發票騙局中支付假發票,或在退款騙局中提交欺詐性退款。
盜竊、搶劫、入室盜竊根據訂單的高價值或桶上的財務信息,企業可能成為攻擊目標。
訂單和貨物也可能成為盜竊和搶劫企圖的目標。已經公開了各種訂單和裝運信息,包括承運人信息、交貨日期、交貨地址和裝運日期