在线PDF工具暴露了数万份用户上传的文件

安全
据Cyber News消息,两款在线PDF制工具已经暴露了数万份用户上传的文件,这两款PDF在线工具分别为PDF Pro (pdf-pro.io) 和 Help PDF (help-pdf.com)。

随着在线文档处理需求的增加,一些看似好用且免费的工具在安全性上可能并不靠谱。据Cyber News消息,两款在线PDF制工具已经暴露了数万份用户上传的文件。

这两款PDF在线工具分别为PDF Pro (pdf-pro.io) 和 Help PDF (help-pdf.com),由同一家英国公司运营,均为用户提供 PDF 转换、压缩、编辑以及签署文档功能。

研究人员发现,暴露的 Amazon S3 存储桶呈开放状态,意味着任何人都能够获取其中的数据。对其进行分析发现,这两款工具已经累计暴露了89062份文件,其中87818 份文件通过 PDF Pro 上传,1244 份文件通过 Help PDF 上传。

这些暴露的文件涉及了大量用户的敏感信息,包括、护照、驾驶执照、证书、合同以及其他一些个人文件和资料。研究人员称,通过访问这些个人文件,网络犯罪分子可以从事各种欺诈活动,例如申请贷款,出租房产或使用受害者的身份进行物品交易,甚至可以更改或伪造合同或许可证等文件,以创建虚假身份、伪造资格或操纵法律协议以谋取利益,从而可能给受害者带来法律问题。

针对暴露的存储桶,Cyber News提出了如下缓解措施:

  • 立即限制对存储桶的公有访问
  • 更改存储桶策略和访问控制列表 (ACL) 以仅将访问权限限制为授权用户或应用程序
  • 确保存储桶中的所有对象都设置为私有或配置了适当的访问控制
  • 在存储桶上启用服务器端加密,以保护静态数据。管理员可以根据自己的要求在 SSE-S3、SSE-KMS 或 SSE-C 之间进行选择

对于用户而言,虽然不少PDF在线工具都会声明会对用户文件保护,包括会加密存储并在用户处理完文件后删除,但显然,其中一些工具仍然会保留用户文件,因此建议用户不要将个人敏感文件上传至网络。

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2024-03-08 11:53:01

2022-02-16 09:15:23

数据泄露网络安全

2012-07-13 11:15:48

2024-08-28 16:11:07

2014-02-11 09:04:49

棱镜门斯诺登NSA

2020-02-03 12:49:36

人工智能云计算5G

2021-05-06 13:56:11

Starlink卫星互联网互联网

2011-11-16 12:45:43

2022-11-10 19:16:33

2010-02-21 18:33:28

文件夹病毒照片影像U盘病毒

2021-11-12 11:32:05

黑客数据泄露网络攻击

2023-05-30 20:19:20

2009-05-08 08:28:57

2019-08-29 11:33:33

无人驾驶谷歌Uber

2023-02-14 10:30:07

ChatGPT代码微软

2021-04-15 07:53:15

ParkMobile数据泄露网络犯罪

2024-03-11 00:02:00

人工智能OpenAI

2023-05-17 19:39:58

2021-09-26 05:31:52

数据泄露房地产信息安全

2015-07-20 10:13:58

点赞
收藏

51CTO技术栈公众号