泰国最大的4G移动运营商TrueMove H遭遇数据泄露，AWS上46000人数据被直接曝光在网上，包括驾驶执照和护照等信息。

运营商向在线客户公开存储在亚马逊AWS S3存储桶中的个人数据。泄露的数据还包括身份证件的扫描，数据一直保留至4月12日，当时该公司限制访问。

安全研究人员Niall Merrigan发现了大量数据，试图将此问题告知TrueMove H，但运营商没有回应。Merrigan透露，该AWS存储桶包含总计32GB的46,000条记录。

专家发表了一篇关于该案例的博客文章，他解释说，像bucket stream  和bucket-finder这样的工具，可以扫描互联网上的开放S3 AWS buckers。 

当Merrigan 注意到属于TrueMove H的那个时，他使用bucket-finder工具找到开放的S3存储桶。

“bucket-finder的输出显示了几个问题，例如配置文件，源代码和其他可能的信息披露。bucket-finder只能通过AWS S3 API获取前1000个文件。为了简化，我将结果加载到一个小型SQL数据库中进行分析。我发现了所有拥有1000个文件的网站，并且进行了快速的视觉扫描，看看它们包含了什么，以及是否有方法识别拥有者。“ 专家写道。

在媒体曝光之后，TrueMove H发布了一份声明，澄清数据泄漏影响了其子公司I True Mart。

一位法律专家表示，TrueMove H可能面临数据泄露的惩罚，而安全专家呼吁电信运营商开始引入更完善的数据保护措施。 

*参考来源：SecurityAffairs，由Andy编译，转载请注明来自FreeBuf.COM