設定不當的 AWS S3 儲存貯體
外洩 36,000 筆受刑人紀錄

作者：Trend Labs 趨勢科技全球技術支援與研發中心

日前發現，Amazon Simple Storage Service（S3）有一個不安全且未加密的儲存貯體，將 36,077 筆屬於美國多個州內矯正機構的受刑人紀錄外洩出去。發現這次外洩的是 vpnMentor，暴露內容包括個人識別資訊（PII）、用藥紀錄以及受刑人日常活動的細節。外洩的儲存庫屬於 JailCore，它是一種用於矯正機構管理的雲端應用程式。

研究人員最初會發現資料外洩是因為一項網路地圖計畫，人員透過掃描通訊埠找出有漏洞的系統，而他們將這項發現回報給 JailCore，該儲存貯體便在幾天內關閉。

曝光資料

遭曝光資料包括受刑人的個人識別資訊，像是全名、生日、編號、大頭照和牢房位置。研究人員注意到，部分資訊其實早在資料外洩以前就已經可以公開取得。受刑人的用藥紀錄也同樣被曝光，包括藥物名稱、劑量、開始與結束用藥的日期、開藥數量與配藥次數、施用日期時間，還有該受刑人是接受或拒絕了處方簽，甚至包括他們的全名；部分案例中還有施予藥物矯正機構人員的簽名。

受刑人活動的細節也遭曝光，包括如廁、洗澡、用餐、探視、休閒活動、收包裹、打掃等等。其他紀錄包括人數報告和人員審核日誌。