导航菜单
译文声明

本文是翻译文章,文章原作者Wang Wei,文章来源:https://thehackernews.com/原文地址:https://thehackernews.com/2020/05/digitalocean-data-breach.html

译文仅供参考,具体内容表达以及含义原文为准

DigitalOcean部分客户数据遭泄露

 

作为现在最大的网络托管平台之一,DigitalOcean近期发生了一起数据泄露事件,导致部分客户数据暴露给未经授权的第三方。

尽管该公司尚未公开发表任何声明,但已经通过邮件形式向受影响客户发送警告。

从受影响客户(参考[1], [2])收到的警告邮件来看,这次的数据泄露是由于人为疏忽所造成。DigitalOcean错误地将一份内网文件接入了互联网,并且没有设置访问密码。

DigitalOcean在警告邮件中提到:“这份文件中包含您的电子邮件地址和/或账户名称(您在注册时使用的账户名)以及其他账户相关数据,其中可能包括Droplet数量、带宽使用情况、产品支持情况或者售卖通信记录,以及您在2018年的消费账单”。

DigitalOcean部分客户数据遭泄露

泄露事件发生后,调查显示该文件在删除前至少已被未经授权的第三方访问过15次。

DigitalOcean继续补充道:“我们的社区是建立在信任的基础上,因此我们正在采取措施,以确保此次事件今后不会再发生。我们将围绕如何保护客户数据对员工进行培训,使用新的程序以便及时告警潜在风险,修改配置避免再次出现数据泄露”。

需要注意的是,这次的泄露事件并不能说明DigitalOcean的网站已被入侵,也不意味着攻击者拿到了客户登录凭证。

因此,如果您拥有DigitalOcean托管服务账户,那么并不需要立即修改密码。但我们仍然建议客户启用双因素身份验证,以确保账户安全。

Hacker New已经联系DigitalOcean,后续进展我们将及时更新。

更新进展:

DigitalOcean公司发言人表示:“我们发现有个文档处于公开共享状态,虽然我们确信没有攻击者恶意访问过该文档,但出于信息透明原则,我们还是选择将该信息如实告知客户。此次事件被波及的客户不到1%,文件中唯一涉及到的PII(personally identifiable information,个人可识别信息)为账户名和邮箱地址。”

“我们的系统上并没有发现恶意访问记录。客户信任我们,将数据交由我们保护,正因为如此,哪怕出现少量的非预期数据访问行为,我们都将与客户保持信息透明度”。

本文翻译自 https://thehackernews.com/, 原文链接 。如若转载请注明出处。

相关推荐

CVE-2020-0904:Hyper-V类型混淆任意地址解引用漏洞分析

译文声明 本文是翻译文章,文章原作者Daniel Fernandez Kuehr,文章来源:labs.bluefrostseC++urity.de 原文地址:https://labs.bluefrostsecurity.de/advisories/bfs-sa-2020-003/ 译文仅供参考,具体内容表达以...

JustSystems Ichitaro(一太郎)缓冲区溢出漏洞

  漏洞简介 IC++hitaro(一太郎)是日本JustSystems公司的一套文字处理软件。 JustSystems Ichitaro在处理JTD文档的过程中存在基于堆的缓冲区溢出漏洞,允许远程攻击者可利用该漏洞构建恶意文件,诱使用户解...