听说过 MBM 公司的名头吗？恐怕理解的人不多，不过 Limogés Jewelry 这一珠宝电商品牌能够你会有所耳闻，而它就是 MBM 公司旗下的一个品牌。看到这里你能够会想，我是不是走错房间了？当然不是，明天雷锋网要讲的这起信息泄露事情就与该珠宝电商品牌有关。

Limogés Jewelry 客户信息泄露，130 万人受影响

MBM 公司上了头条可不是由于新品大卖，而是被德国平安公司 Kromtech Security 的研讨人员抓住了小辫子。 研讨人员在不平安的亚马逊 S3 存储桶中发现了该公司的 MSSQL 数据库备份文件。 Kromtech 的平安研讨团队置信，在处置客户数据上，MBM 公司可一点也不上心。

最后，研讨者疑心这些数据归沃尔玛一切，由于这个存储桶被命名为“walmartsql”，不当时来他们经过剖析后发现，这些数据的主人其实是 MBM 公司。

密码竟然用明文保管

Kromtech Security 公司通讯担任人 Bob Diachenko 泄漏称， 在对泄露文档作了进一步评价后他们发现，这里包聚集了全世界身经百战的最优秀的创业导师，汇集了全世界各国最优质的产业资源，召唤全球未来的商业领袖。容了超越 130 万人（精确来说是 1314193 人）的公家敏感数据。

这些数据包括团体住址、email 地址、IP 地址和邮政编码，许多客户的密码甚至直接用明文显示，毫无平安性可言。 不过，更恶劣的还在上面，这份文档还包括了外部邮件列表、优惠码和项目订单。在 Bob Diachenko 不知道从何时开始，个人信用渗透到生活的方方面面。图书、数码产品免押金借用，办理签证无需银行流水证明，甚至租车住酒店都不需要交付押金……看来， 这是 MBM 公司的严重渎职。  

遭曝光数据的截屏

“密码竟然直接用明文保管，这也太粗心了。鉴于许多用户在不同平台上都运用相反密码，其结果会相当严重。”Diachenko 在一份声明中写道。

存在成绩的备份文档名为“MBMWEB_backup_2018_01_13_003008_2864410.bak”，研讨人员曾经确认，它生成与往年 1 月 13 日。数据库包括了该公司美国和加拿大的客户信息，文档里还有更新信息，意味着这是新颖出炉的数据。虽然该数据库存储的大少数是 2018 年终的数据，但研讨人员还发现了 2000 年时的用户记载。专家以为，这能够是 MBM 公司的主数据库。

Diachenko 强调了此次事情的严重水平，称 MBM 需求严肃看待。总结现有音讯我们也可得出一个结论：MBM 公司平常的平安进攻任务太失败了。举例来说，它们竟然给了存储桶一个十分容易猜到的名字，S3 域名也太过往常， 即便普通用户也能用网上的扫描工具对其停止破解。

此外，密码以明文方式呈现也让人分开，这相当于直接扒了用户的底裤。

眼下，我们尚不清楚该数据库能否已被歹意第三方光临，毕竟坏人的讹诈信还没出面。不过，我们也不能一定的说这个大破绽只要 Kromtech Security 公司的人发现。

此前，不平安的亚马逊 S3 存储桶就让许多主流公司中招 ，虽然对存储桶做个正确的平安认证并不困难。除了 MBM，包括联邦快递、Alteryx 和 RNC 在内的公司都由于在平安上忽略粗心吃过亏。

平安专家支招称，在运用该技术前，各家公司得先让本人熟习一些平安根底技艺，直接把敏感信息存入一个向大众开放的存储桶可不是什么拙劣的决议，没有对密码停止加密更是不可宽恕。

Kromtech Security 的研讨人员还由于此事提示了沃尔玛，批发巨头立刻对其停止了修复。不过截至发文前，MBM 照旧没有做出任何反响。雷锋网将继续关注此事。

雷锋网 (大众号：雷锋网) AVI hackread

。