首页 / 行业

配置错误导致用户信息泄露云存储是否真的安全

2019-05-07 09:53:00

云存储配置错误继续困扰着数据隐私领域，数据显示，在网络上的数百万人的就业和健康信息流露在暗网等地方，换句话理解，数据对任何互联网人都是敞开的。

近日，美国有家著名招聘公司Ladders，由于其中一个配置错误的数据库显示出勒索软件攻击的证据，导致泄露公司的大量的个人身份信息(PII)：Ladders猎头和招聘网站以用户信息。在这种情况下，发现勒索软件隐藏在混合物中。

此公司是使用的是亚马逊云数据库，其中包含1370万用户的就业信息，其中包括姓名，电子邮件地址，实际地址和电话号码。它还包括典型的简历费用，例如就业历史，在某些情况下还包括详细的职位描述，它还列出了安全许可。另外，该数据库还保留了379,000名招聘人员不太敏感的细节。

发生数据泄露事件后，公司的首席执行官与AWS服务提供商确认了，管理弹性搜索是安全的，只有内部员工才可以在指定的IP地址访问。没有关于信息暴露多长时间或是否被访问的消息。

无独有偶。与此同时，美国另外一个属于佛罗里达州医疗公司的无担保Elasticsearch数据库。它包含136,995个明文记录，包括姓名，出生日期，电话号码，实际地址，电子邮件地址和医疗状况信息也遭到大规模泄露。

在数据库内部是每个成员的文件，其中包含个人身份信息，一些帐户有医疗信息或关于用户的注释，这是一个设置为'打开'并在任何浏览器中可见的弹性数据库(可公开访问)，任何人都可以编辑，下载甚至删除没有管理凭据的数据。

数据库中存在勒索软件的证据，这可能是更大曝光的证据。即使有潜伏的这种可能性，公司在无能为力，尽管数据库在发送信息后仍然是安全的。

令人遗憾的是，尽管高调的事件似乎每天都在涌现，但云配置问题仍可能继续存在：许多企业仍然不了解共享责任模型，像AWS这样的云提供商负责保护云基础架构本身，但数据所有者负责保护他们选择在云中托管的信息的机密性，完整性和可用性。

但最重要的是，这是用户个人信息的数据，无论是否属于隐私法规，企业有责任在云环境中保护它。公司还应该从错误配置很常见的角度来看待云存储安全性，如果不可能的话。

没有人是完美的，每个人都会犯错误，所以偶然的内部威胁对于控制是很重要的。当然，恶意行为者可能想从公司获取知识产权，但数据曝光的大部分往往是偶然的。