Kromtech安全中心披露两起数据泄露事件 涉及本田汽车和环球唱片

Kromtech安全中心在本周三（5月30日）再次披露了两起数据泄露事件，事件的主体包括本田汽车公司（HONDA）在印度的子公司——本田印度（Honda India）以及成立于1912年的全球音乐巨头——环球唱片（Universal Music Group，UMG）。

其中，本田印度因为不安全的AWS S3存储桶泄露了超过5万名客户的个人详细信息，而环球唱片则因为受到其承包商的牵连，暴露了自己的内部FTP凭证、数据库根密码和AWS配置详细信息，包括访问密钥和密码。

Kromtech安全中心指出，本田汽车印度公司意外将超过5万名Honda CONNECT移动应用程序用户的个人详细信息存储在了两个可公开访问的Amazon S3存储桶中，这使得黑客窃取这些数据成为了可能。

Honda CONNECT（智导互联）是本田汽车公司与阿里巴巴・高德集团共同开发的新一代导航互联系统。它为用户提供精准导航、在线娱乐、信息传输以及紧急救援等多样化服务，允许用户通过Honda CONNECT移动应用程序与自己的汽车进行互动，也可以与本田汽车公司提供的服务进行订约和互动。

随着时间的推移，该应用程序到目前为止已经收集并存储了大量有关于用户及其汽车的各种信息。Kromtech安全中心的研究人员Bob Diachenko发现，能够被公开访问的信息包括用户及其可信联系人的姓名、电话号码、密码、性别和电子邮箱地址，以及有关他们汽车的信息，包括VIN、Connect ID等。

值得注意的是，Diachenko并不是第一个发现这两个存储桶的人。Diachenko说，当他发现这两个存储桶的时候，它们就已经包含了一个名为“poc.txt”的文件，并带有安全提示信息。

从文件内容来看，它是由一位名叫Robbie Wiggins的安全研究员在今年2月28日创建的。近一年来，Wiggins一直在扫描互联网上的AWS S3存储桶，并将这些信息留在不安全的存储桶中。Wiggins一直在这样做，以提醒存储桶所有者应该在数据遭到破坏前对它们采取保护措施。

Diachenko表示，与本田汽车印度公司取得联系并不容易，这大概花费了他们近两周的时间。好消息是，该公司目前已经对此事进行了回应，而不安全的AWS S3存储桶也已经得到了应有的保护。

Kromtech安全中心的专家发现，由于两个未受保护的Apache Airflow服务器实例，环球唱片的云数据存储承包商Agilisium意外暴露了该公司的内部FTP凭证、AWS配置细节（访问密钥和密码），以及内部源代码细节（SQL密码）。

Apache Airflow是一个以编程方式编写、调度和监控工作流的平台，基于Python。默认情况下，Airflow是完全开放的，这一点通常会在安全文档的第一行写明，这意味着用户必须进行一些设置步骤来保护服务器。很显然，Agilisium公司跳过了这些步骤，导致无意中暴露了一切。

在与环球唱片取得联系后，该公司迅速进行了回应并解决了问题。