暴露的AWS桶再次涉及多个数据泄漏
由于Misconpdamazon简单存储服务(S3)铲斗存储造成的两个严重的数据泄漏,缺乏小心被认为是正确的云环境。
作为默认设置,Amazon S3 Buckets是私有的,只能通过明确授予其内容的inpiduals访问,因此他们的持续曝光指向云安全策略周围一致的消息传递,实现和配置失败的事实达到许多IT专业人士。
第一次与几家英国咨询公司有关的泄漏。这是由VPnmentor的研究人员揭开的诺亚轮谟和RAN Locar揭开了诸如在英国工作的数千名顾问相关的护照扫描,税务文件,背景检查,职位,费用索赔,电子邮件和薪资细节等信息。
无抵押桶的所有者尚不清楚,但是Rotem和Locar(去年透露了影响数百万厄瓜多尔公民的类似案例)能够将其追溯到一个名为CHS Consulting的神秘公司。该数据库包含来自其他咨询公司的数据,其中一些现已停止交易。虽然有些文件在2011年间,已经在2014年至2015年之间收集了大多数数据。
在向亚马逊Web服务(AWS)和英国国家网络安全中心(NCSC)通知之后,该数据库于2019年12月19日获得担保。
第二次泄漏来自属于新电影的桶,该公司是一家位于英国的生产公司,专门从事电视广告为健康和美容品牌。
根据据报道,第一次报告的故事,新鲜电影意外地暴露于2017年推出Unilever品牌鸽子的2017年商业公司的40名演员的数据,以及有关生产团队和船员的细节。
个人数据点揭示了包含的名称,邮政和电子邮件地址,电话号码,出生日期和银行详细信息以及护照扫描以及一些参与者的国家保险人数。
它缺乏默认重复AWS Buckets是私人的,因此在曝光桶内部的网络钓鱼或社会工程技术中,通过例如网络钓鱼或社会工程技术禁止通过网络钓鱼或社会工程技术,他们的内容只能通过错误揭示它们的内容疏忽。
Rotem和Locar表示,很明显,CHS确保了其服务器,实现了适当的访问规则,并更多地注意,确保不需要身份验证的系统未对公共互联网开放,这可能已避免。可以推断出相同的胶片。
“通过迁移到云的大量数据,用于使用数据挖掘等使用案例,以及缺乏对天蓝色的安全最佳实践的知识,因此塞尔吉奥·卢克里奥(Outpost24)是非常简单的。“亚马逊为AWS用户提供了详细的说明,以帮助他们保护S3存储桶并将其保留私密。在CHS的情况下,修复此错误的最快方法是使存储桶私有并添加身份验证协议,[to]遵循AWS访问和认证最佳实践,[和]将更多的保护层添加到其S3存储桶中限制谁可以从每个入口点访问它,“Rotem和Locar在其披露中说。
Outpost24的云安全总监塞尔吉奥卢提雷说:“我们仍然在云基础设施安全的早期,我们看到的是机会主义的普遍性,而不是非常复杂的攻击,例如寻找公开访问的AWS S3数据桶。
“通过扫描云基础架构中的低悬挂数据,您可以惊讶地看到您可以找到的数据。它只需要几个API [Application编程界面]来电。随着许多数据迁移到云的云以进行数据挖掘,以及缺乏对天蓝色和AWS的安全最佳实践知识,它非常简单地出现问题。“
AxoNius的首席执行官和联合创始人院长和Axonius的联合创始人表示,这是非常容易理解在公共云中持有的数据如何经常泄漏。
“许多组织最初打算仅为他们的S3存储桶仅用于备份,或者他们要么误解或忘记要仔细检查身份验证权限。不幸的是,我们将来一定会看到更多这些泄漏,因为即使它们很容易避免,它们也很容易找到。
“幸运的是,IT团队不必等到违反P突破 - 以确保他们受到保护,他们必须首先决定云实例的意图,然后监视和实施谁实际上可以访问数据的谁,”干部说。
据Outpost24的卢尔遗传信息,部分解决方案是为了确保您执行持续的数据风险评估,可以轻松自动化的东西,并且还将通过限制金额来减轻任何赎金软件攻击的方法数据ransomware可以加密。云提供商确实有工具来帮助客户解决问题,这可以由云安全姿势管理服务和云工作负载保护平台补充。
Comforte AG的企业数据保护负责人Jonathan Deveaux突出了额外的步骤,例如在包含敏感或个人身份数据的数据库上激活加密。
“令终止或加密数据本身意味着无论数据存储在数据库中 - 在云中的另一个数据库中,在企业其他地方的另一台服务器上 - 始终以这样的方式保护数据,以便安全旅行数据',“deveaux说。
然而,他承认,这创造了一个额外的头痛,因为如果突然需要说明的数据,那么如果需要解密,则必须解密 - 一个“有些”露出数据的有效原因。
罗伯特·拉姆斯(Robert Ramsden-Board)副总裁Femurecope,中东和非洲(Emea)在Securonix上表示,由于网络罪犯发现,所暴露的数据集的后果可能已经更严重,而不是Rotem等道德黑客和locar。
而且,当然,没有什么需要表明来自CHS或新胶片泄漏的数据尚未发现网络犯罪分子 - 可能已经使用过。
“对那些已经暴露的人的安全和隐私后果可能很棒。Ramsden-Board说,史式逃避遭受体验威胁的威胁的风险增加了巨大的威胁和网络钓鱼骗局。
“这可能是2020的第一个数据事件之一,但它遵循2019年许多数据泄漏的模式。练习基本的网络卫生是所有组织的必要条件,特别是那些信任我们最敏感的数据的组织,并且在2020年,那些未能保护其数据库的人应该持有责任,“他说。
“练习基本的网络卫生是所有组织的必要条件,并且那些未能保护其数据库的人应该被持有责任”罗伯特·拉姆斯登 - 委员会,Securonix彼得德珀(Gurucul)的EMEA技术总监彼得德珀(Peter Draper)补充说:“今天数字世界的情况是,每当我们在线与组织互动时,正在收获增加的个人识别信息。
“合法的公司可以通过互联网从来源收集有关我们的数据,然后将该数据结合成他们可以销售的详细配置文件。如果这个数据没有强烈担保,并且通常不是这样的,那么这些信息可以很容易地最终在黑网上。“
CENSORNET首席技术官Richard Walters(Richard Walters)增加:“诸如此类的数据泄漏,因为企业没有足够的意识或者他们的数据实际存储在云中的可见性,并且这对这种变化至关重要。
“不幸的是,缺乏问责制使得这很困难 - 亚马逊无法透露谁的存储,所以我们不知道什么组织负责。但是,对于云安全的企业来说,这不是借口。他们及其客户将支付丢失数据的最终成本。“
然而,Comforte Ag's Deveaux表示,在CHS违约的情况下,持有那些负责任的负责任会非常努力。
“关于这种敏感的数据发现可能最透露的是,许多公司都不在商业中,”他说。“如果其中一个人受到这种数据曝光发现的负面影响,并且他们希望举办某人,或者一些负责的组织,那将是谁?
“数据的数据政策需要确保敏感数据始终受到保护,即使公司失业,也会最大限度地减少数据曝光事件。”
CHS泄露的性质使其非常困难地知道谁可以持有责任,或者是否将被持有账户。然而,在新鲜电影的情况下,有法律义务通知信息专员办公室的泄漏,在一般数据保护条例(GDPR)下几乎肯定会有某种形式的反吹。
