配置错误会导致数百万用户的信息泄露。云存储现在真的安全吗?
最近,美国著名招聘公司Ladders披露了该公司的大量个人身份信息(PII),因为其一个配置错误的数据库显示了勒索软件攻击的证据:Ladders的猎头和招聘网站使用了用户信息。
这家公司用的是亚马逊云数据库,里面有654.38+0370万用户的就业信息,包括姓名、邮箱、实际地址、电话。它还包括典型的简历费用,如就业历史,在某些情况下,详细的工作描述。它还列出了安全许可。
数据泄露事件发生后,该公司CEO向AWS服务提供商确认,管理弹性搜索是安全的,只有内部员工才能在指定的IP地址访问。这些信息暴露了多久,或者是否被访问过,都没有消息。
巧合的是。同时,美国另一个不安全的Elasticsearch数据库属于佛罗里达医疗公司。包含136995条明文记录,信息已经大规模泄露。
在数据库中是每个成员的档案,其中包含个人身份信息。有些账户有关于用户的医疗信息或评论。这是一个设置为“开放”的弹性数据库,在任何浏览器中都可见(可公开访问)。任何人都可以在没有管理凭证的情况下编辑、下载甚至删除数据。
数据库中的证据,这可能是更多暴露的证据。即使存在这种潜在的可能性,公司也无能为力,尽管发送信息后数据库仍然是安全的。
遗憾的是,虽然高调事件似乎每天都在涌现,但云配置问题可能依然存在:很多企业仍然不了解* * *共享责任模式。像AWS这样的云提供商负责保护云基础设施本身,但数据所有者负责保护他们选择在云中托管的信息的机密性、完整性和可用性。
但最重要的是,这是用户个人信息的数据。无论是否属于隐私条例,在云环境下企业都有责任保护。公司还应该从错误配置很常见(如果不是不可能的话)的角度来看待云存储安全性。
没有人是完美的,每个人都会犯错,所以偶然的内部威胁对于控制非常重要。当然,恶意行为者可能希望从公司获得知识产权,但大多数数据暴露往往是偶然的。