1. 首页
2. 新闻资讯
3. 安全资讯
4. 在线PDF工具暴露了数万份用户上传的文件

在线PDF工具暴露了数万份用户上传的文件

发布日期：2024-07-16

随着在线文档处理需求的增加，一些看似好用且免费的工具在安全性上可能并不靠谱。据Cyber News消息，两款在线PDF制工具已经暴露了数万份用户上传的文件。
这两款PDF在线工具分别为PDF Pro （pdf-pro.io） 和 Help PDF （help-pdf.com），由同一家英国公司运营，均为用户提供 PDF 转换、压缩、编辑以及签署文档功能。
研究人员发现，暴露的 Amazon S3 存储桶呈开放状态，意味着任何人都能够获取其中的数据。对其进行分析发现，这两款工具已经累计暴露了89062份文件，其中87818 份文件通过 PDF Pro 上传，1244 份文件通过 Help PDF 上传。
这些暴露的文件涉及了大量用户的敏感信息，包括、护照、驾驶执照、证书、合同以及其他一些个人文件和资料。研究人员称，通过访问这些个人文件，网络犯罪分子可以从事各种欺诈活动，例如申请贷款，出租房产或使用受害者的身份进行物品交易，甚至可以更改或伪造合同或许可证等文件，以创建虚假身份、伪造资格或操纵法律协议以谋取利益，从而可能给受害者带来法律问题。
针对暴露的存储桶，Cyber News提出了如下缓解措施：
立即限制对存储桶的公有访问
更改存储桶策略和访问控制列表 （ACL） 以仅将访问权限限制为授权用户或应用程序
确保存储桶中的所有对象都设置为私有或配置了适当的访问控制
在存储桶上启用服务器端加密，以保护静态数据。管理员可以根据自己的要求在 SSE-S3、SSE-KMS 或 SSE-C 之间进行选择
对于用户而言，虽然不少PDF在线工具都会声明会对用户文件保护，包括会加密存储并在用户处理完文件后删除，但显然，其中一些工具仍然会保留用户文件，因此建议用户不要将个人敏感文件上传至网络。
声明：转自 FreeBuf 本平台所收集的部分公开资料来源于互联网，转载的目的在于传递更多信息及用于网络分享，并不代表本平台赞同其观点和对其真实性负责，也不构成任何其他建议。如果您发现平台上有侵犯您的知识产权的作品，请与我们取得联系，我们会及时修改或删除。

上一篇：比亚迪世界杯流量被“截胡”到成人用品网站？

下一篇：菲律宾国家医保系统泄露4200万人信息，被议会询问

相关新闻

• 勒索软件攻击事件为何不断增加
• 全球石油巨头因网络攻击损失超2.5亿元
• 39秒黑客就会攻击一次，每天造成1800万美元的损失
• 施*德电气遭数据勒索：开发平台访问凭证暴露 40GB数据失窃
• 25家跨国企业数据泄露，MOVEit漏洞引发重大安全危机
• 《个人信息保护法》施行三周年，SSL证书筑牢个人信息 “安全堤”
• 数据泄露事件频发 我们如何防患于未然
• 遭勒索攻击后，秘鲁国际银行承认数据泄露
• 一机场集团疑遭勒索软件攻击，旗下13个机场紧急切换备用系统
• 诺*亚正在调查一起数据泄露事件