IOTW：在线健身组织V接触后毫不犹豫地锁定了一些PII

COVID-19期间的锻炼正在经历家庭复兴。随着体育馆的关闭以及人们希望继续或开始其身体健康之旅，新的在线选项不断涌现。 BBB报道称，在线健身公司V Shred于2018年获得认证。
V Shred向其客户提供健身计划，膳食计划和专有补品。 V Shred与私人教练配对，使用在线交流和数据库来跟踪和维护客户信息和进度。 但是，研究小组vpnMentor的道德黑客最近披露了他们的发现，即超过99,000个V Shred客户端和私人教练已经通过不安全的AWS存储桶公开了个人信息。
该存储桶在AWS平台上称为Amazon S3存储桶，包含特殊的个人客户信息，例如全名，家庭和电子邮件地址，公民身份，社交媒体帐户，健康状况以及“前后”人体照片的显示。 尽管V Shred是一家年轻的小公司，但保护S3存储桶是他们的责任。 V Shred可以通过采取简单的安全措施（例如保护服务器和实施安全访问控制（SAC））来避免违规。
此外，重要的是要注意，违规不是S3 Bucket的错。 V Shred可以在执行单独的身份验证措施时将存储桶设为私有，并至少遵循AWS访问和身份验证最佳实践。 相关：数据突破背后：p了解云安全性和配置错误 相反，当vpnMentor通知V Shred有关安全问题时，该公司通过拒绝公开个人身份信息（PII）作出回应，并声称有必要公开用户文件。
V Shred被告知5月18日发行。他们直到6月18日才停用该文件。膳食计划，锻炼说明以及照片前后都仍然可以公开获得。
这种不合常规的安全措施使V Shred面临许多问题。客户可能不再信任该组织，而转而使用目前过度饱和的家庭健身行业的另一项服务。免费提供的IP有被盗和复制的风险。
也许最令人担忧的是，该违规行为可能导致调查，审计和罚款。 V Shred的客户也面临针对性的网络钓鱼活动甚至身份盗用的风险。 ZDNet避免将轻率行为称为违规行为，因为似乎公开的信息已被及时锁定。
对于V Shred来说很幸运，看来vpnMentor早于恶意行为者发现了漏洞。黑客仍然使用他们使用的方法，强调开发和遵循强大的网络安全协议的重要性。 相关：p全球中小型企业报告网络攻击增长和复杂度连续第三年 小型企业的确拥有与大型企业不同的资源。
大多数企业没有CISO或高级安全软件，但这并不是没有遵循基本安全措施（例如创建包括以下内容的连续性计划）的借口信息，例如： 中小型企业（SMB）也可以访问其云提供商提供的安全服务。对于V Shred，Amazon S3为SMB提供了详细的《安全性最佳实践》指南，其中包括预防性最佳实践，例如： 以及监视和审计最佳实践，包括： 对于SMB来说，防止和处理好数据事件至关重要。与大型企业不同，它可能只需要进行很小的疏忽，就可以导致一个很小的安全事件，从而毁坏整个品牌。
虽然“ V Shred”事件可能不会造成明显的直接损害，但客户和公司的关系肯定会受到影响。 了解更多：本周事件。