在线文档处理需求的攀升,使得部分自诩便捷且免费的工具在安全性方面显得不那么可靠。
Cyber News今日披露,两家隶属于同一家英国公司的在线PDF处理平台——PDF Pro(pdf-pro.io)与Help PDF(help-pdf.com),均提供PDF转移、压缩、编辑及签署等功能,却不幸成为数据泄露的源头。据悉,这两款工具背后隐藏的Amazon S3存储桶未加妥善保护,导致任何人均能轻易访问其中存储的数据。进一步调查发现,共有89062份文件因此暴露无遗,其中87818份源自PDF Pro,而Help PDF则贡献了剩余的1244份。这些文件广泛涵盖了用户的敏感信息,包括但不限于护照、驾照、各类证书、合同及个人隐私资料。
研究人员警告,此类个人信息的泄露为网络犯罪分子提供了可乘之机,他们可能借此进行贷款申请、房产租赁、身份盗用等欺诈行为,甚至篡改或伪造合同、许可证等重要文件,从而制造虚假身份、伪造资质或操控法律协议,给受害者带来严重的法律困扰。
为应对此类安全漏洞。Cyber News提出了几项关键建议:
- 立即限制对暴露存储桶的公有访问。
- 调整存储桶策略及访问控制列表(ACL),确保仅授权用户或应用程序能访问数据。
- 确保所有存储桶内的对象均设为私有或配置有恰当的访问控制。
- 推荐在存储桶上启用服务器端加密(如SSE-S3、SSE-KMS或SSE-C),以增加静态数据的安全保护。
对于广大用户而言,尽管许多在线PDF工具声称会保护用户文件,包括加密存储及处理完毕后删除文件,但现实情况表明,部分工具仍未能完全遵守承诺。因此,强烈建议用户避免将包含敏感信息的文件上传至网络,以防范潜在的数据泄露风险。
参考来源:
Online PDF maker leaks user-uploaded documents
3069
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
