開曼群島銀行發(fā)生嚴重數(shù)據(jù)泄露事故
責編:gltian |2020-12-04 16:55:41一家開曼群島離岸銀行的備份數(shù)據(jù)(涵蓋5億美元的投資組合)近日公開暴露,泄露信息包括個人銀行業(yè)務信息、護照數(shù)據(jù)甚至在線銀行PIN碼。
由于使用Microsoft Azure Blob云服務時發(fā)生配置錯誤,這家開曼群島投資公司(匿名)已刪除多年的備份數(shù)據(jù)不但沒有消失,反而直到事件曝光前都可以在線輕松獲得。安全研究人員發(fā)現(xiàn),一個Blob單一URL指向一個龐大的文件數(shù)據(jù)庫,包括個人銀行信息、護照數(shù)據(jù),甚至是網(wǎng)上銀行PIN碼。數(shù)據(jù)泄露事件對于這家標榜匿名和保密的金融公司來說,無疑意味著一場公關災難。
不僅是一場公關災難
一位安全研究人員向科技媒體The Register透露,這家金融公司犯下了嚴重的網(wǎng)絡安全錯誤,這家公司甚至壓根沒有(負責)網(wǎng)絡安全的專業(yè)人才,接收安全研究人員警告的是一個僅有大學計算機科學背景的普通業(yè)務人員。
The Register的報道補充說,該公司的員工“完全不了解”Azure Blob的工作方式(Azure Blob是與Amazon Web Services S3等云存儲解決方案競爭的云備份存儲解決方案),整個操作完全取決于外部IT提供商的網(wǎng)絡安全性。
該公司員工在回應媒體采訪時說:“這是我們在中國香港的IT供應商提供的備份解決方案,我們認為這是一種相當正常的云服務。顯然這里有問題!”
據(jù)悉,泄露數(shù)據(jù)已被IT供應商移除。
ImmuniWeb的首席執(zhí)行官、網(wǎng)絡安全和法律專家Ilia Kolochenko表示,這家投資公司要準備面對數(shù)據(jù)泄露的災難性后果。
Kolochenko表示:“大多數(shù)地區(qū)的司法部門都會將這一事件視為重大過失,其基金也將面臨客戶的一系列訴訟。過去,類似事件導致企業(yè)聲譽受損,無法與受挫的客戶繼續(xù)合作,因此導致破產(chǎn)。對于已經(jīng)泄露的數(shù)據(jù),我們還期望負責起訴逃稅或洗錢的各種執(zhí)法機構對泄露文件進行調(diào)查。”
云配置錯誤與云服務品牌無關
無論使用何種品牌的云存儲服務,最近幾個月,錯誤配置的問題始終困擾著各種企業(yè)。
不久前,酒店預訂平臺Cloud Hospitality由于配置錯誤的Amazon Web Services S3存儲服務而暴露了大約1000萬人的數(shù)據(jù)。
基督教應用程序Pray.com也因為AWS S3配置錯誤暴露了其數(shù)千萬客戶的個人數(shù)據(jù)。
vpnMentor關于該漏洞的報告說:“通過進一步調(diào)查,我們了解到Pray.com已保護了一些文件,并將它們設置為存儲桶中的私有文件以限制訪問。但是,與此同時,Pray.com已將其S3存儲桶與另一項AWS服務,即AWS CloudFront內(nèi)容交付網(wǎng)絡(CDN)集成在一起。Cloudfront允許應用程序開發(fā)人員將內(nèi)容緩存在世界各地由AWS托管的代理服務器上,使數(shù)據(jù)更接近用戶,而不必從應用程序的中心服務器加載這些文件。結果,即便CD3存儲桶中的文件有單獨的安全設置,未授權者都可以通過CDN間接查看和訪問它們。”
Google Cloud用戶也遇到了類似的云配置挑戰(zhàn)。去年9月,Comparitech對2,064個Google Cloud Bucket進行了一項調(diào)查,結果發(fā)現(xiàn)6%的Google Cloud Bucket配置錯誤,面向公眾暴露。
九成云存儲存在配置錯誤
企業(yè)云安全最大的誤區(qū)之一就是將安全性完全托付給云服務商或者第三方IT服務商。由于企業(yè)在新冠疫情中不得不迅速轉移到遠程工作環(huán)境,因此配置錯誤這種云安全漏洞正在變得越來越普遍,而網(wǎng)絡犯罪分子顯然也注意到了這一點。
根據(jù)Accuris去年春季的報告,受調(diào)查的云部署有93%存在配置錯誤,并且有二分之一的容器配置文件中存儲了不受保護的憑據(jù)。
報告建議:“減少此類風險的唯一方法是在開發(fā)生命周期的早期檢測、消除違反政策的行為,并確保安全地配置云原生基礎架構。越來越多的組織采用基礎架構代碼(IaC)來定義和管理云原生基礎架構,因此可以將策略檢查(即策略編碼)編入開發(fā)管道。”
研究人員警告說,保護云及其云中存儲的敏感數(shù)據(jù)的安全,必須成為所有企業(yè)和機構的頭等大事,以保護企業(yè)聲譽和業(yè)務安全。
總結:數(shù)據(jù)上云先練好安全內(nèi)功
大量企業(yè)和組織在沒有對IT人員進行適當培訓的情況下,就將數(shù)據(jù)盲目地轉移到云中。最終,發(fā)生的數(shù)據(jù)泄露事故甚至比犯罪分子的蓄意破壞還要嚴重。更糟糕的是,網(wǎng)絡罪犯分子已經(jīng)充分意識到存在無數(shù)種錯誤配置的云實例,開始密切監(jiān)視整個互聯(lián)網(wǎng),以獲取唾手可得的成果。除非被媒體或安全專業(yè)人士報告,否則此類“被動攻擊”是無法檢測到的,也極其危險。企業(yè)的商業(yè)秘密和敏感數(shù)據(jù)可能會“突然”落入競爭對手、國家黑客和有組織犯罪團伙的手中。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術與應用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡與信息法治建設回顧