由于错误配置的亚马逊云服务S3存储桶，数百万Verizon客户个人数据被泄漏。

据称，安全公司UpGuard研究人员发现一个存储库，其中包含美国1400万Verizon客户的姓名、地址、账户详细信息以及账号PIN。该AWS S3存储桶由Verizon第三方供应商Nice Systems拥有以及运行，该公司负责帮Verizon处理其后台和呼叫中心运营。

UpGuard公司网络风险分析师Chris Vickery在2017年6月8日发现该AWS S3存储桶，并在6月13日通知了Verizon。Vickery发现该存储库“完全可下载并可配置为允许公共访问”，这意味着攻击者只需要“简单猜测”该AWS S3存储桶的URL即可访问“TB级”Verizon客户数据。

在一篇博客文章中，Vickery和UpGuard网络灵活性分析师Dan O’Sullivan指出，Verizon公司在收到通知的一个多星期后，在6月22日才修复该泄漏问题，他们批评Verizon公司花了这么长时间，“在6月13日最初通知到Verizon，而在6月22日最终修复泄漏问题，这个时间间隔令人感到不安”。

第三方供应商风险就是企业风险；对敏感企业数据的共享访问不会降低这种风险，而会将风险扩展到合约伙伴，使云端泄漏跨越多个大陆，并牵连多个企业。

Vickery报告称，1400万用户的数据遭暴露，但Verizon公司发言人称只有600万用户。不过，无论多少客户的数据被泄漏，目前还没有报告表明攻击者实际访问了这些数据。

在AWS S3存储桶泄漏的个人数据中包括客户名称、地址和电话号码，在该开放存储库中还包含客户满意度跟踪数据，即Verizon客户联系呼叫中心获得支持的相关信息。另外，客户用来通过呼叫中心访问其账户的PIN也列在相关电话号码旁。通过PIN和其他个人数据，攻击者可控制客户账户。

“攻击者确实可能结合这些信息与内部Verizon账户PIN来控制客户账户，”UpGuard称，“这样做的话，攻击者可假冒客户告诉Verizon呼叫中心做任何事情。”

这样的信息泄漏带来怎样的影响？

“简而言之，Nice Systems是值得信赖的Verizon合作伙伴，但很少有人意识到他们可随意访问其数据，”UpGuard称，“这样的第三方供应商每天都被委托处理客户敏感个人信息，但客户并不知道这种情况。企业网络风险与该企业第三方合作伙伴的网络风险之间没有任何差异。在供应商方面的数据泄漏会严重影响客户，也会让业务利益相关者造成重大损失，正如企业自身方面的泄漏事故一样。”