软件供应商错误导致法院密封文件暴露

DataBreaches.net近期报道显示，研究人员发现两家法院的密封立案文件和法庭记录因软件供应商配置错误而暴露在互联网上，但责任供应商对安全通知迟迟不作回应。

尽管数月来持续尝试联系软件供应商，警告其客户文件（包括机密和密封的法庭记录）在网络上暴露，供应商Software Unlimited Corp（位于密西西比州图珀洛）始终未予回应。请注意不要将其与开发K-12学校会计软件的Software Unlimited Inc.混淆。

事件处理过程

在向受影响法院发送通知后，其中一家法院的本地IT供应商联系了Software Unlimited Corp（简称SUCO）。SUCO声称问题已"修复"，但实际上员工只是将Samba共享转移到了另一个IP地址。客户在几分钟内就发现了新IP地址，并确认数据仍然处于暴露状态。随后他们要求SUCO彻底关闭该共享。

虽然第一个实体的数据共享被关闭，但第二个实体更大的文件共享仍然暴露在外。

DataBreaches昨日再次通过电子邮件联系第二个实体。这次邮件被相关人员阅读后立即确认为合法且紧急的安全警报。在收到邮件并审阅早前报告的一小时内，该实体即指示SUCO完全移除其文件共享。

在后续电话沟通中，DataBreaches了解到，当该实体此前收到安全警报后联系SUCO时，SUCO曾告知他们一切正常，并称这类警告邮件多为诈骗邮件。

安全隐患与建议

两个向SUCO报告问题的客户在数据暴露期间均被告知"一切正常"。目前尚不清楚还有多少其他客户的Samba共享仍然暴露。使用SUCO托管平台软件的客户应请安全专业人员调查所有Samba共享的安全性，确保其得到充分保护。

时值网络安全意识月，DataBreaches建议所有组织检查其网站首页是否包含第三方报告安全事件的联系方式，或将此类信息包含在security.txt文件中。本次事件中的两个实体均未提供清晰的第三方安全問題通报渠道。

不要指望人们会花费大量时间寻找联系您报告数据安全问题的方法。在首页明确告知联系途径，并确保对该账户或方法进行持续监控。

本文在发布后经过编辑，修正了关于security.txt文件的表述。