在线PDF工具暴露了数万份用户上传的文件

随着在线文档处理需求的工具增加 
，一些看似好用且免费的暴露工具在安全性上可能并不靠谱。据Cyber News消息，数万两款在线PDF制工具已经暴露了数万份用户上传的份用文件
。

这两款PDF在线工具分别为PDF Pro （pdf-pro.io） 和 Help PDF （help-pdf.com），户上由同一家英国公司运营
，文件均为用户提供 PDF 转换、高防服务器工具压缩、暴露编辑以及签署文档功能 。数万

研究人员发现，份用暴露的户上 Amazon S3 存储桶呈开放状态，意味着任何人都能够获取其中的文件数据。对其进行分析发现  ，工具这两款工具已经累计暴露了89062份文件，免费模板暴露其中87818 份文件通过 PDF Pro 上传 ，数万1244 份文件通过 Help PDF 上传。

这些暴露的文件涉及了大量用户的敏感信息 ，包括、护照、驾驶执照、证书、建站模板合同以及其他一些个人文件和资料。研究人员称 ，通过访问这些个人文件，网络犯罪分子可以从事各种欺诈活动 ，例如申请贷款，出租房产或使用受害者的身份进行物品交易 ，甚至可以更改或伪造合同或许可证等文件，以创建虚假身份 、云计算伪造资格或操纵法律协议以谋取利益 ，从而可能给受害者带来法律问题。

针对暴露的存储桶，Cyber News提出了如下缓解措施 ：

立即限制对存储桶的公有访问更改存储桶策略和访问控制列表 （ACL） 以仅将访问权限限制为授权用户或应用程序确保存储桶中的所有对象都设置为私有或配置了适当的访问控制在存储桶上启用服务器端加密 ，以保护静态数据。源码下载管理员可以根据自己的要求在 SSE-S3 、SSE-KMS 或 SSE-C 之间进行选择

对于用户而言，虽然不少PDF在线工具都会声明会对用户文件保护 ，包括会加密存储并在用户处理完文件后删除 ，但显然，其中一些工具仍然会保留用户文件，因此建议用户不要将个人敏感文件上传至网络。

亿华云