一家開(kāi)曼群島離岸銀行的備份數(shù)據(jù)(涵蓋5億美元的投資組合)近日公開(kāi)暴露，泄露信息包括個(gè)人銀行業(yè)務(wù)信息、護(hù)照數(shù)據(jù)甚至在線銀行PIN碼。

由于使用Microsoft Azure Blob云服務(wù)時(shí)發(fā)生配置錯(cuò)誤，這家開(kāi)曼群島投資公司(匿名)已刪除多年的備份數(shù)據(jù)不但沒(méi)有消失，反而直到事件曝光前都可以在線輕松獲得。安全研究人員發(fā)現(xiàn)，一個(gè)Blob單一URL指向一個(gè)龐大的文件數(shù)據(jù)庫(kù)，包括個(gè)人銀行信息、護(hù)照數(shù)據(jù)，甚至是網(wǎng)上銀行PIN碼。數(shù)據(jù)泄露事件對(duì)于這家標(biāo)榜匿名和保密的金融公司來(lái)說(shuō)，無(wú)疑意味著一場(chǎng)公關(guān)災(zāi)難。

[[355637]]

不僅是一場(chǎng)公關(guān)災(zāi)難

一位安全研究人員向科技媒體The Register透露，這家金融公司犯下了嚴(yán)重的網(wǎng)絡(luò)安全錯(cuò)誤，這家公司甚至壓根沒(méi)有(負(fù)責(zé))網(wǎng)絡(luò)安全的專(zhuān)業(yè)人才，接收安全研究人員警告的是一個(gè)僅有大學(xué)計(jì)算機(jī)科學(xué)背景的普通業(yè)務(wù)人員。

The Register的報(bào)道補(bǔ)充說(shuō)，該公司的員工“完全不了解”Azure Blob的工作方式(Azure Blob是與Amazon Web Services S3等云存儲(chǔ)解決方案競(jìng)爭(zhēng)的云備份存儲(chǔ)解決方案)，整個(gè)操作完全取決于外部IT提供商的網(wǎng)絡(luò)安全性。

該公司員工在回應(yīng)媒體采訪時(shí)說(shuō)：“這是我們?cè)谥袊?guó)香港的IT供應(yīng)商提供的備份解決方案，我們認(rèn)為這是一種相當(dāng)正常的云服務(wù)。顯然這里有問(wèn)題!”

據(jù)悉，泄露數(shù)據(jù)已被IT供應(yīng)商移除。

ImmuniWeb的首席執(zhí)行官、網(wǎng)絡(luò)安全和法律專(zhuān)家Ilia Kolochenko表示，這家投資公司要準(zhǔn)備面對(duì)數(shù)據(jù)泄露的災(zāi)難性后果。

Kolochenko表示：“大多數(shù)地區(qū)的司法部門(mén)都會(huì)將這一事件視為重大過(guò)失，其基金也將面臨客戶的一系列訴訟。過(guò)去，類(lèi)似事件導(dǎo)致企業(yè)聲譽(yù)受損，無(wú)法與受挫的客戶繼續(xù)合作，因此導(dǎo)致破產(chǎn)。對(duì)于已經(jīng)泄露的數(shù)據(jù)，我們還期望負(fù)責(zé)起訴逃稅或洗錢(qián)的各種執(zhí)法機(jī)構(gòu)對(duì)泄露文件進(jìn)行調(diào)查。”

云配置錯(cuò)誤與云服務(wù)品牌無(wú)關(guān)

無(wú)論使用何種品牌的云存儲(chǔ)服務(wù)，最近幾個(gè)月，錯(cuò)誤配置的問(wèn)題始終困擾著各種企業(yè)。

不久前，酒店預(yù)訂平臺(tái)Cloud Hospitality由于配置錯(cuò)誤的Amazon Web Services S3存儲(chǔ)服務(wù)而暴露了大約1000萬(wàn)人的數(shù)據(jù)。

基督教應(yīng)用程序Pray.com也因?yàn)锳WS S3配置錯(cuò)誤暴露了其數(shù)千萬(wàn)客戶的個(gè)人數(shù)據(jù)。

vpnMentor關(guān)于該漏洞的報(bào)告說(shuō)：“通過(guò)進(jìn)一步調(diào)查，我們了解到Pray.com已保護(hù)了一些文件，并將它們?cè)O(shè)置為存儲(chǔ)桶中的私有文件以限制訪問(wèn)。但是，與此同時(shí)，Pray.com已將其S3存儲(chǔ)桶與另一項(xiàng)AWS服務(wù)，即AWS CloudFront內(nèi)容交付網(wǎng)絡(luò)(CDN)集成在一起。Cloudfront允許應(yīng)用程序開(kāi)發(fā)人員將內(nèi)容緩存在世界各地由AWS托管的代理服務(wù)器上，使數(shù)據(jù)更接近用戶，而不必從應(yīng)用程序的中心服務(wù)器加載這些文件。結(jié)果，即便CD3存儲(chǔ)桶中的文件有單獨(dú)的安全設(shè)置，未授權(quán)者都可以通過(guò)CDN間接查看和訪問(wèn)它們。”

Google Cloud用戶也遇到了類(lèi)似的云配置挑戰(zhàn)。去年9月，Comparitech對(duì)2,064個(gè)Google Cloud Bucket進(jìn)行了一項(xiàng)調(diào)查，結(jié)果發(fā)現(xiàn)6%的Google Cloud Bucket配置錯(cuò)誤，面向公眾暴露。

九成云存儲(chǔ)存在配置錯(cuò)誤

企業(yè)云安全最大的誤區(qū)之一就是將安全性完全托付給云服務(wù)商或者第三方IT服務(wù)商。由于企業(yè)在新冠疫情中不得不迅速轉(zhuǎn)移到遠(yuǎn)程工作環(huán)境，因此配置錯(cuò)誤這種云安全漏洞正在變得越來(lái)越普遍，而網(wǎng)絡(luò)犯罪分子顯然也注意到了這一點(diǎn)。

根據(jù)Accuris去年春季的報(bào)告，受調(diào)查的云部署有93%存在配置錯(cuò)誤，并且有二分之一的容器配置文件中存儲(chǔ)了不受保護(hù)的憑據(jù)。

報(bào)告建議：“減少此類(lèi)風(fēng)險(xiǎn)的唯一方法是在開(kāi)發(fā)生命周期的早期檢測(cè)、消除違反政策的行為，并確保安全地配置云原生基礎(chǔ)架構(gòu)。越來(lái)越多的組織采用基礎(chǔ)架構(gòu)代碼(IaC)來(lái)定義和管理云原生基礎(chǔ)架構(gòu)，因此可以將策略檢查(即策略編碼)編入開(kāi)發(fā)管道。”

研究人員警告說(shuō)，保護(hù)云及其云中存儲(chǔ)的敏感數(shù)據(jù)的安全，必須成為所有企業(yè)和機(jī)構(gòu)的頭等大事，以保護(hù)企業(yè)聲譽(yù)和業(yè)務(wù)安全。

總結(jié)：數(shù)據(jù)上云先練好安全內(nèi)功

大量企業(yè)和組織在沒(méi)有對(duì)IT人員進(jìn)行適當(dāng)培訓(xùn)的情況下，就將數(shù)據(jù)盲目地轉(zhuǎn)移到云中。最終，發(fā)生的數(shù)據(jù)泄露事故甚至比犯罪分子的蓄意破壞還要嚴(yán)重。更糟糕的是，網(wǎng)絡(luò)罪犯分子已經(jīng)充分意識(shí)到存在無(wú)數(shù)種錯(cuò)誤配置的云實(shí)例，開(kāi)始密切監(jiān)視整個(gè)互聯(lián)網(wǎng)，以獲取唾手可得的成果。除非被媒體或安全專(zhuān)業(yè)人士報(bào)告，否則此類(lèi)“被動(dòng)攻擊”是無(wú)法檢測(cè)到的，也極其危險(xiǎn)。企業(yè)的商業(yè)秘密和敏感數(shù)據(jù)可能會(huì)“突然”落入競(jìng)爭(zhēng)對(duì)手、國(guó)家黑客和有組織犯罪團(tuán)伙的手中。

【本文是51CTO專(zhuān)欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文