Honda อินเดียตั้งค่า AWS S3 พลาด ข้อมูลลูกค้ากว่า 50,000 รายรั่วสู่สาธารณะ

อีกหนึ่งกรณีสำหรับการตั้งค่า AWS S3 Bubket ไม่มั่นคงปลอดภัย เมื่อ Kromtech Security บริษัทที่ปรึกษาด้านความมั่นคงปลอดภัยออกมาเปิดเผยว่า ข้อมูลส่วนบุคคลของลูกค้า Honda ประเทศอินเดียกว่า 50,000 รายสามารถเข้าถึงได้จากสาธารณะ

Kromtech ระบุว่า ข้อมูลลูกค้าที่รั่วออกมานั้น เป็นข้อมูลผู้ใช้ที่ทำการดาวน์โหลดและติดตั้ง Honda Connect ซึ่งเป็นแอปพลิเคชันบนอุปกรณ์พกพาที่พัฒนาโดย Honda Car India สำหรับช่วยให้ผู้ใช้สามารถบริหารจัดการรถยนต์อัจฉริยะของตนได้ รวมไปถึงเชื่อมต่อกับบริการอื่นๆ ของ Honda Car India

จนถึงตอนนี้ Honda Connect ได้เก็บรวบรวมข้อมูลส่วนบุคคลของลูกค้า Honda อินเดียจำนวนมากจากการดาวน์โหลดแอปพลิเคชันมันมากกว่า 1,000,000 ครั้ง ซึ่ง Kromtech ระบุว่า ข้อมูลที่รั่วสู่สาธารณะนั้นประกอบด้วย ชื่อ เพศ เบอร์โทร อีเมล รหัสผ่านบัญชี Car VIN และ Car Connect ID

อย่างไรก็ตาม Kromtech ไม่ใช่คนแรกที่พบว่า AWS S3 Bucket ของ Honda อินเดียตั้งค่าการเข้าถึงผิดพลาด เนื่องจากพบว่าใน S3 Bucket มีไฟล์ที่ชื่อว่า poc.txt อยู่ ไฟล์ดังกล่าวถูกสร้างขึ้นโดยอัตโนมัติโดยนักวิจัยด้านความมั่นคงปลอดภัยที่ชื่อว่า Robbie Wiggins ซึ่งคอยสแกนอินเทอร์เน็ตทั่วโลกเพื่อค้นหาว่ามีใครตั้งค่า AWS S3 Bucket ผิดพลาดบ้าง พร้อมทำการแจ้งเตือนก่อนที่จะถูกผู้ไม่ประสงค์ดีโจมตีหรือขโมยข้อมูล จากการตรวจสอบ Timestamp พบกว่าไฟล์ poc.txt ถูกสร้างขึ้นเมื่อวันที่ 28 กุมภาพันธ์ 2018 หรือก็คือประมาณ 3 เดือนก่อนหน้านี้

Kromtech ได้แจ้งปัญหาที่ค้นพบไปยัง Honda อินเดีย ซึ่งก็ได้ทำการปิดสิทธิ์เข้าถึงจากสาธารณะเป็นที่เรียบร้อย แต่จนถึงตอนนี้ยังไม่ทราบแน่ชัดว่าข้อมูลที่รั่วออกมานี้ถูกใครนำไปใช้ประโยชน์หรือไม่

ที่มา: https://www.bleepingcomputer.com/news/security/honda-india-left-details-of-50-000-customers-exposed-on-an-aws-s3-server/