一软件商疏失致多法院敏感文件暴露，数据安全警钟再鸣

DataBreaches.Net 近期报道，研究人员发现，两家法院的密封诉状和法庭记录因一起供应商失误而在互联网上暴露，但对此负责的供应商并未对漏洞通知作出回应。

尽管经过数月的尝试，试图让一家软件供应商对其客户文件（包括机密和密封的法庭记录）在互联网上暴露的警报作出回应，但该供应商始终没有响应。

涉事软件供应商是位于密西西比州图珀洛的 Software Unlimited Corp（SUCO）。请注意不要将其与销售K-12学校会计软件的 Software Unlimited, Inc. 混淆。Software Unlimited Corp 为检察官提供刑事和民事案件管理软件。

在也向受影响法院发出通知后，其中一家法院让其本地IT供应商就此事致电SUCO。据报道，SUCO告诉他们问题已“修复”，但该员工仅仅是将Samba共享（一种网络文件共享服务）迁移到了另一个IP地址。客户在几分钟内就发现了新的IP地址，并看到他们的数据仍然暴露在外。他们随后指示SUCO关闭该共享。

这样一来，一个实体的数据风险暂时解除，但第二个实体的、规模更大的共享文件仍然暴露在外。

DataBreaches 昨天再次通过电子邮件联系了第二个实体。这一次，邮件被一位立即意识到其真实性和紧迫性的人阅读。在收到邮件并审阅了我们早先的帖子后一小时内，该实体指示SUCO彻底移除其共享文件。

在一次后续通话中，DataBreaches了解到，当该实体此前收到我们的警报后联系SUCO时，SUCO据称告诉他们一切正常，并表示总是有很多诈骗邮件。

两名向SUCO报告此问题的客户，在他们的数据暴露时，均被告知一切正常。还有多少其他客户的Samba共享仍然暴露？我们不得而知，但使用SUCO托管平台软件的客户，应聘请安全专家调查任何Samba共享的安全性，以确保其得到充分保护。

恰逢网络安全宣传月…

在这个网络安全宣传月的最后一天，DataBreaches敦促每个人检查其网站主页，确保其包含供第三方报告安全事件的联系信息，或者此类信息包含在一个 security.txt 文件中。本次事件中的两个实体均未提供任何清晰的途径供第三方提醒其安全问题。

不要指望人们会花费大量时间试图找到某种方式联系您来报告数据安全问题。在您的主页上发布一些信息，告诉他们如何联系您，并监控该账户或联系方式。

本文在发布后经过编辑，修正了提及 security.txt 文件的一句话。