在这篇文章中,公司的数据暴露了谁受到了影响?谁泄露了数据?对ePallet客户和合作伙伴的影响ePallet Inc.数据泄露的状态保护您的数据如何以及为什么我们报告数据泄露网站Planet是什么?公司名称和地址:ePallet Inc.,位于加利福尼亚州,USASize(GB和文件量):超过250万个文件,总计600+GB的数据编号。受影响的公司:100至200家企业数据存储格式:亚马逊S3 bucketCountry受影响国家:美国
简介
网站行星研究团队发现一个影响美国批发和物流平台ePallet Inc.的数据暴露。
ePallet是一个企业对企业品牌,为零售商和制造商提供供应链解决方案。
该公司拥有的亚马逊S3存储桶被错误配置,暴露了该过程中数百家其他企业的数据。
暴露的公司数据
ePallet的存储桶处于打开状态,没有任何密码保护。因此,该公司的AWS S3存储桶暴露了250多万个文件,相当于超过600 GB的数据。
在暴露的文件中,有许多形式的敏感数据与ePallet有关,以及通过ePallet平台订购、销售和交付商品的公司。
我们在bucket上发现了五个独立的数据集,暴露了ePallet、其合作伙伴和客户:订单和账单、订单附件、客户相关文件、杂项认证和ePallet信用申请。
订单和票据
订单和票据(或者更确切地说是“提单”文件)概述了企业通过ePallet平台买卖批发商品的交易。桶里有数百个这种类型的文件。
订单和账单暴露了ePallet客户和合作伙伴的敏感数据,包括:
公司详细信息,如买家和供应商的公司名称和地址。
承运人信息,即各承运人公司的名称和地址。
发货信息,例如订购的货物、提货/交货日期、重量、数量。注:提单是托运人和承运人之间的一种单据。它详细说明了承运人所需的货物和订单信息,同时还充当收据
您可以在下面的屏幕截图中看到订单和账单的示例。
订单附件
客户订单附带的订单附件。我们在桶里发现了数千个这种类型的文件。
订单附件影响客户和合作伙伴的详细敏感数据:
发货信息,有时在可扫描条形码S
中,您可以在下面看到订单附件的证据。
客户相关文件
在配置错误的存储桶上找到了客户相关文件。这些似乎是ePallet收集的关于使用ePallet平台的企业的文档。
与客户相关的文件包含一系列敏感的客户数据:
公司名称
公司地址S3联系详细信息,包括公司电话号码、传真号码和电子邮件地址S3财务信息(在某些情况下),即公司收入3各种其他公司详细信息,即公司年龄、员工人数、,ETC
客户相关文件的类型各不相同,包含大量信息,本报告中未概述其中一些数据。这些文件包括公司简介(关于公司详细信息的报告)、其他企业的信贷申请以及税务相关文件。ePallet要求提供转销商许可证和(非营利组织)税务状况证明,这可能解释了这些文件的一部分。
在以下截图中可以看到与客户相关的文件证据。
其他证书
其他证书也存储在桶上。这些证书似乎是授予通过ePallet销售商品的公司的。这些证书由多个机构颁发,用于多种不同的目的。例如,一份证书是授予一家食品公司的“犹太教证书”,表明其产品得到了犹太教机构的批准。
尽管证书没有详细说明大量供应商数据(通常是公司名称和证书详细信息),但它们的存在可能会以网络犯罪的形式被用来对付ePallet供应商。
ePallet可能会存储这些认证,作为它们存在的证据。您可以在下面看到其他认证的证据。
信用申请
信用申请存储在打开的AWS S3存储桶中,该存储桶公开了与ePallet、其业务运营和员工相关的信息。ePallet向其他企业提交了这些信用申请。
ePallet credit applications公开了各种形式的敏感公司数据:
Company name
Federal ID Number
Address
联系方式、电话号码、电子邮件地址、传真号码
Staff names,即CEO姓名和各种其他S
各种其他公司详细信息,如公司年龄、房产租赁/所有权状态
下面概述了一个信用申请示例。
ePallet的Amazon S3存储桶是实时的,在发现时正在更新。AWS S3桶的所有者(在本例中为ePallet)负责其安全性。因此,亚马逊并不是ePallet数据泄露的过错。
根据bucket文件夹名称中的4位ID号(每一个都被认为表示一个独特的业务)的数量,我们估计有数百家企业受到ePallet数据泄露的影响。
ePallet可能会因为该数据泄露而受到法律制裁。
谁受到影响
ePallet错误配置的亚马逊S3存储桶暴露了公司数据,以及客户企业(“买家”使用epallet.com)和合作伙伴(商品制造商/供应商和运营商,这些企业提供在epallet.com上销售的产品)的数据。
ePallet不在美国境外运营,桶上的所有信息似乎仅与美国企业有关。
大型公司通过ePallet的网站销售产品。M&Ms、Twix、Skittles和Snickers在epallet上被列为“特色供应商”。com的登录页面,而其他一系列流行的“制造合作伙伴”也在该网站上销售产品,从吉列到Arm&Hammer。我们无法确认这些公司中是否有任何一家在桶上公开了信息。谁公开了数据
ePallet Inc.成立于2017年,是一家在线批发供应链服务公司,总部位于美国加利福尼亚州阿古拉山。
ePallet的网站(epallet.com)是一个人工智能驱动的平台,它将企业与制造商联系起来,允许零售商直接从货源处购买满托盘的批发商品。
除了其“在线批发市场”,ePallet还与运营商合作,为通过网站订购的商品提供物流解决方案。这简化了分销流程,同时为制造商和客户提供了新的商业机会。
ePallet专营食品,但该公司也销售超市中可能会找到的其他产品,包括婴儿用品、医疗产品和家居用品。ePallet的员工不到25人,收入不到500万美元。
对ePallet客户端和合作伙伴的影响
我们无法知道不道德的黑客和恶意参与者是否访问了开放的AWS S3存储桶的内容。然而,在这种情况下,ePallet的客户和合作伙伴可能会因数据泄露而面临多方面的影响。
BEC、诈骗、网络钓鱼和恶意软件
ePallet客户、供应商和运营商可能会因为这种数据泄露而遭受网络钓鱼尝试、欺诈和恶意软件攻击。网络犯罪分子可以使用客户相关文件中的电子邮件地址和电话号码联系企业。
在网络钓鱼企图和诈骗中,黑客可以参考其他形式的暴露信息,与受害者建立信任,并围绕通信原因进行叙述。
商业电子邮件泄露(BEC)攻击是一种有针对性的网络钓鱼尝试。犯罪分子利用泄露的电子邮件帐户向用户发送消息,同时冒充已知来源,并有合法的联系理由。联系方式、员工姓名以及桶上显示的送货信息使BEC成为可能。
例如,黑客可能会冒充运营商、产品供应商或ePallet的代表联系客户。黑客可以参考订单/发货细节,与受害者建立信任,声称发货存在问题。
黑客可能会联系声称是客户或ePallet代表的供应商或运营商。同样,黑客可能会参考订单的细节来暗示存在问题。也许,黑客声称需要退款,因为部分订单尚未送达。
黑客还可以利用公司的详细信息、财务信息或证书来围绕他们的通信构建叙事。
一旦受害者信任网络罪犯,攻击者可能会试图从受害者或受害企业提取个人或敏感信息。这被称为网络钓鱼企图。黑客还可能试图说服受害者点击恶意链接。一旦点击,恶意链接可以将恶意软件下载到受害者的设备上,以补充进一步的网络犯罪。
网络犯罪分子还可以利用这种信任诱使受害者参与流行的诈骗。例如,黑客可以说服企业在假发票骗局中支付假发票,或在退款骗局中提交欺诈性退款。
盗窃、抢劫、入室盗窃
根据订单的高价值或桶上的财务信息,企业可能成为攻击目标。
订单和货物也可能成为盗窃和抢劫企图的目标。已经公开了各种订单和装运信息,包括承运人信息、交货日期、交货地址和装运日期