随着在线文档处理需求的增加,一些看似好用且免费的工具在安全性上可能并不靠谱。据Cyber News消息,两款在线PDF制工具已经暴露了数万份用户上传的文件。
这两款PDF在线工具分别为PDF Pro (pdf-pro.io) 和 Help PDF (help-pdf.com),由同一家英国公司运营,均为用户提供 PDF 转换、压缩、编辑以及签署文档功能。
研究人员发现,暴露的 Amazon S3 存储桶呈开放状态,意味着任何人都能够获取其中的数据。对其进行分析发现,这两款工具已经累计暴露了89062份文件,其中87818 份文件通过 PDF Pro 上传,1244 份文件通过 Help PDF 上传。
这些暴露的文件涉及了大量用户的敏感信息,包括、护照、驾驶执照、证书、合同以及其他一些个人文件和资料。研究人员称,通过访问这些个人文件,网络犯罪分子可以从事各种欺诈活动,例如申请贷款,出租房产或使用受害者的身份进行物品交易,甚至可以更改或伪造合同或许可证等文件,以创建虚假身份、伪造资格或操纵法律协议以谋取利益,从而可能给受害者带来法律问题。
针对暴露的存储桶,Cyber News提出了如下缓解措施:
- 立即限制对存储桶的公有访问
- 更改存储桶策略和访问控制列表 (ACL) 以仅将访问权限限制为授权用户或应用程序
- 确保存储桶中的所有对象都设置为私有或配置了适当的访问控制
- 在存储桶上启用服务器端加密,以保护静态数据。管理员可以根据自己的要求在 SSE-S3、SSE-KMS 或 SSE-C 之间进行选择
对于用户而言,虽然不少PDF在线工具都会声明会对用户文件保护,包括会加密存储并在用户处理完文件后删除,但显然,其中一些工具仍然会保留用户文件,因此建议用户不要将个人敏感文件上传至网络。
网络安全怎么学习?
想学习网络安全的小伙伴,我给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂,所有资料共282G,朋友们如果有需要全套网络安全入门+进阶学习资源包,可以点击免费领取(如遇扫码问题,可以在评论区留言领取哦)~
如果你想要入坑黑客&网络安全工程师,这份282G全网最全的网络安全资料包!
学习资料工具包
压箱底的好资料,全面地介绍网络安全的基础理论,包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等,将基础理论和主流工具的应用实践紧密结合,有利于读者理解各种主流工具背后的实现机制。
网络安全源码合集+工具包
视频教程
视频配套资料&国内外网安书籍、文档&工具
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
黑客/网安大礼包:CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
好了就写到这了,大家有任何问题也可以随时私信问我!希望大家不要忘记点赞收藏哦!