暴露的AWS桶再次涉及多个数据泄漏
政府将£140米NHS AI奖奖励加快先进的技术用法
一半的技术工作人员想在2020年找到一份新工作
Acronis首席执行官随见专家超越备份
数字部门每天为英国经济提供400亿英镑
2019年有意义的收入难以捉摸,但机会从企业敲打5G
BT呼吁在英国农村网络计划中进行投资公平的运营商
加拿大皇家银行在自动化流程中为Mencap进行了“腿部”
IR35私营部门改革:将雇主的NI推到承包商上,公司通过承包商的危险行动
如果他们担任一体,英国和欧盟艾美社区将只会全球重要意义
提出了关于Gov.uk的更多问题验证了数字身份征求资料
现代电信已经开辟了瑞典的北方
三星团队与Comms科技领导人设置5G速度基准
谷歌云确认为10亿美元的收入运行费率业务
Horangi和Tokio海洋组队在网络安全服务上
伯明翰和利物浦在地铁英国移动速度测试中占据最高点
Xerox准备剪切和粘贴惠普公司
Windows 7的:这些碎片融合在一起,用于PC重新思考
Deutsche Telekom声称最成功的一年
O2去O-RAN改善网络服务
虚拟宽带连接到2025年通过500亿
执行面试:Melissa di Donato,CEO,SUSE
5克从炒作到现实,并将在2034年将22Tn增加2.2Tn到全球经济
英国共享农村网络获得官方进步
云误导的成本设定为5亿美元
长期,黑暗的冬季促进芬兰在视频游戏开发中的优势
政府收紧关于IoT网络安全的法律
增值税软件供应商公布数百万的数据
技术国家选择第五个高档计划队列
IR35私营部门改革:IT承包商称重他们的4月2020年后工作选择
中东二十五的IT工作人员将改变更多金钱的工作
警察IT系统故障会创建重要的积压
Joaquin Phoenix的Joker是“最危险的”电影
NHSX任命首席信息官
在Q3和Q4之间的全球云基础设施中的记录破坏上升
沃达丰推出了新的物联网投资组合和5G关税
ClearView Hack Fuels辩论面部识别
IBM在FlashSystem品牌下统一存储阵列
对英国即将到来的移民规则的技术反应
达沃斯2020:为什么IT部门必须解决气候问题
麦格理云服务建立天蓝色的实践
七个项目资助探索Cav安全
Extreme Networks声称Wi-Fi 6为美国体育体育馆的游戏更换器
沃达丰,Orange Tap Amdocs提高西班牙商务优惠
云数据泄漏缺乏自动化工具
IR35私营部门改革:IBM加入将毯子禁令应用于PSC的企业列表
Q4再次成长,但全球智能手机市场将在2019年下映
高通公司声称在蜂窝载体上的重要进展 - 一切技术
亚马逊员工活动家驳回杰夫贝斯的10亿美元承诺,以打击气候变化
Microsoft承包商受到以色列数据中心建筑网站的健康和安全违规索赔
您的位置:首页 >产品 > 智能硬件 >

暴露的AWS桶再次涉及多个数据泄漏

2021-09-10 15:44:09 [来源]:

由于Misconpdamazon简单存储服务(S3)铲斗存储造成的两个严重的数据泄漏,缺乏小心被认为是正确的云环境。

作为默认设置,Amazon S3 Buckets是私有的,只能通过明确授予其内容的inpiduals访问,因此他们的持续曝光指向云安全策略周围一致的消息传递,实现和配置失败的事实达到许多IT专业人士。

第一次与几家英国咨询公司有关的泄漏。这是由VPnmentor的研究人员揭开的诺亚轮谟和RAN Locar揭开了诸如在英国工作的数千名顾问相关的护照扫描,税务文件,背景检查,职位,费用索赔,电子邮件和薪资细节等信息。

无抵押桶的所有者尚不清楚,但是Rotem和Locar(去年透露了影响数百万厄瓜多尔公民的类似案例)能够将其追溯到一个名为CHS Consulting的神秘公司。该数据库包含来自其他咨询公司的数据,其中一些现已停止交易。虽然有些文件在2011年间,已经在2014年至2015年之间收集了大多数数据。

在向亚马逊Web服务(AWS)和英国国家网络安全中心(NCSC)通知之后,该数据库于2019年12月19日获得担保。

第二次泄漏来自属于新电影的桶,该公司是一家位于英国的生产公司,专门从事电视广告为健康和美容品牌。

根据据报道,第一次报告的故事,新鲜电影意外地暴露于2017年推出Unilever品牌鸽子的2017年商业公司的40名演员的数据,以及有关生产团队和船员的细节。

个人数据点揭示了包含的名称,邮政和电子邮件地址,电话号码,出生日期和银行详细信息以及护照扫描以及一些参与者的国家保险人数。

它缺乏默认重复AWS Buckets是私人的,因此在曝光桶内部的网络钓鱼或社会工程技术中,通过例如网络钓鱼或社会工程技术禁止通过网络钓鱼或社会工程技术,他们的内容只能通过错误揭示它们的内容疏忽。

Rotem和Locar表示,很明显,CHS确保了其服务器,实现了适当的访问规则,并更多地注意,确保不需要身份验证的系统未对公共互联网开放,这可能已避免。可以推断出相同的胶片。

“通过迁移到云的大量数据,用于使用数据挖掘等使用案例,以及缺乏对天蓝色的安全最佳实践的知识,因此塞尔吉奥·卢克里奥(Outpost24)是非常简单的。

“亚马逊为AWS用户提供了详细的说明,以帮助他们保护S3存储桶并将其保留私密。在CHS的情况下,修复此错误的最快方法是使存储桶私有并添加身份验证协议,[to]遵循AWS访问和认证最佳实践,[和]将更多的保护层添加到其S3存储桶中限制谁可以从每个入口点访问它,“Rotem和Locar在其披露中说。

Outpost24的云安全总监塞尔吉奥卢提雷说:“我们仍然在云基础设施安全的早期,我们看到的是机会主义的普遍性,而不是非常复杂的攻击,例如寻找公开访问的AWS S3数据桶。

“通过扫描云基础架构中的低悬挂数据,您可以惊讶地看到您可以找到的数据。它只需要几个API [Application编程界面]来电。随着许多数据迁移到云的云以进行数据挖掘,以及缺乏对天蓝色和AWS的安全最佳实践知识,它非常简单地出现问题。“

AxoNius的首席执行官和联合创始人院长和Axonius的联合创始人表示,这是非常容易理解在公共云中持有的数据如何经常泄漏。

“许多组织最初打算仅为他们的S3存储桶仅用于备份,或者他们要么误解或忘记要仔细检查身份验证权限。不幸的是,我们将来一定会看到更多这些泄漏,因为即使它们很容易避免,它们也很容易找到。

“幸运的是,IT团队不必等到违反P突破 - 以确保他们受到保护,他们必须首先决定云实例的意图,然后监视和实施谁实际上可以访问数据的谁,”干部说。

据Outpost24的卢尔遗传信息,部分解决方案是为了确保您执行持续的数据风险评估,可以轻松自动化的东西,并且还将通过限制金额来减轻任何赎金软件攻击的方法数据ransomware可以加密。云提供商确实有工具来帮助客户解决问题,这可以由云安全姿势管理服务和云工作负载保护平台补充。

Comforte AG的企业数据保护负责人Jonathan Deveaux突出了额外的步骤,例如在包含敏感或个人身份数据的数据库上激活加密。

“令终止或加密数据本身意味着无论数据存储在数据库中 - 在云中的另一个数据库中,在企业其他地方的另一台服务器上 - 始终以这样的方式保护数据,以便安全旅行数据',“deveaux说。

然而,他承认,这创造了一个额外的头痛,因为如果突然需要说明的数据,那么如果需要解密,则必须解密 - 一个“有些”露出数据的有效原因。

罗伯特·拉姆斯(Robert Ramsden-Board)副总裁Femurecope,中东和非洲(Emea)在Securonix上表示,由于网络罪犯发现,所暴露的数据集的后果可能已经更严重,而不是Rotem等道德黑客和locar。

而且,当然,没有什么需要表明来自CHS或新胶片泄漏的数据尚未发现网络犯罪分子 - 可能已经使用过。

“对那些已经暴露的人的安全和隐私后果可能很棒。Ramsden-Board说,史式逃避遭受体验威胁的威胁的风险增加了巨大的威胁和网络钓鱼骗局。

“这可能是2020的第一个数据事件之一,但它遵循2019年许多数据泄漏的模式。练习基本的网络卫生是所有组织的必要条件,特别是那些信任我们最敏感的数据的组织,并且在2020年,那些未能保护其数据库的人应该持有责任,“他说。

“练习基本的网络卫生是所有组织的必要条件,并且那些未能保护其数据库的人应该被持有责任”罗伯特·拉姆斯登 - 委员会,Securonix

彼得德珀(Gurucul)的EMEA技术总监彼得德珀(Peter Draper)补充说:“今天数字世界的情况是,每当我们在线与组织互动时,正在收获增加的个人识别信息。

“合法的公司可以通过互联网从来源收集有关我们的数据,然后将该数据结合成他们可以销售的详细配置文件。如果这个数据没有强烈担保,并且通常不是这样的,那么这些信息可以很容易地最终在黑网上。“

CENSORNET首席技术官Richard Walters(Richard Walters)增加:“诸如此类的数据泄漏,因为企业没有足够的意识或者他们的数据实际存储在云中的可见性,并且这对这种变化至关重要。

“不幸的是,缺乏问责制使得这很困难 - 亚马逊无法透露谁的存储,所以我们不知道什么组织负责。但是,对于云安全的企业来说,这不是借口。他们及其客户将支付丢失数据的最终成本。“

然而,Comforte Ag's Deveaux表示,在CHS违约的情况下,持有那些负责任的负责任会非常努力。

“关于这种敏感的数据发现可能最透露的是,许多公司都不在商业中,”他说。“如果其中一个人受到这种数据曝光发现的负面影响,并且他们希望举办某人,或者一些负责的组织,那将是谁?

“数据的数据政策需要确保敏感数据始终受到保护,即使公司失业,也会最大限度地减少数据曝光事件。”

CHS泄露的性质使其非常困​​难地知道谁可以持有责任,或者是否将被持有账户。然而,在新鲜电影的情况下,有法律义务通知信息专员办公室的泄漏,在一般数据保护条例(GDPR)下几乎肯定会有某种形式的反吹。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。