配置不当导致400多万用户信息遭泄露

发现这些信息的研究人员指出，信息内容始于2010年。这些信息被暴露在两个配置不当的AWS S3桶中。这些桶通常在默认情况下是受保护的，但被配置为公开可访问，可能是为备份测试所用。

研究人员指出，经验证的用户能够直接通过URL下载这些数据。迈克菲下属的Kromtech安全中心公司在上周五宣布了研究结果，表示他们在7月份发现了这个数据库，当时他们遇到了另外一个不安全的属于世界摔跤娱乐的S3域名。

研究人员指出，他们随后开始测试“-test”后缀的其它仓库并发现了两个联网仓库（其中一个使用了亚马逊不推荐的下划线）。其中一个文本文件“用户资料，07-07-2017”中是400多万时代华纳有线电视公司的用户记录，其中多数来自该公司的MyTWCapp。用户可通过这款app付款、升级服务并访问语音邮箱、频道列表和WiFi设置。被暴露的TWC客户信息的时间范围是2010年11月26日至2017年7月7日，包括用户姓名、MAC地址、序列号、账户号码、服务、类别详情和交易ID。

研究人员指出他们曾联系BroadSoft公司在印度班加罗尔代表处的工程师，但该公司指出这个仓库并不属于他们，不过他们已在收到通知后将仓库关闭。Charter通信公司在得到通知后关闭了第二个桶。Charter通信公司在去年以近720亿美元的价格收购了时代华纳有线电话公司和BrightHouse Networks。

受影响方已部署修复方案

BroadSoft公司的一名发言人周二表示，该公司已在发现问题后尽快修复，并强调称所暴露的数据并不包含用户的银行卡、信用卡或社保号码信息。

时代华纳有线电话公司的一名发言人在周二指出仍在调查事件，并已将相关信息撤下。该公司表示希望MyTWCapp用户更改用户名和密码。

AWS S3桶信息泄露问题频上头条

亚马逊S3桶安全措施不力的消息最近几周频上头条。8月份，Kromtech公司的研究人员发现了属于从事群会议和旅店预定行业的美国公司Groupize的桶。任何人均可访问桶中的信用卡授权表单如支付卡信息、有效期数据和CVV代码数据等。

UpGuard公司的研究人员在8月初在桶中发现了芝加哥所有的选民名单。另外该公司还在7月份通过第三方AWS库发现了Verizon用户的数据。此外，该公司在上周末还发现一家私营军事承包商TigerSwan将大量拥有“绝密”安全许可的求职者简历暴露在一个S3桶中。TigerSwan指责第三方招聘供应商TalentPen该为此事担责，并表示该公司在8月31日才发现信息遭暴露。