2024上半年全球云上数据泄露风险分析报告
AI智能总结
关于绿盟科技 绿盟科技集团股份有限公司(以下简称绿盟科技),成立于 2000年 4 月,总部位于北京。公司于 2014 年 1 月 29 日起在深圳证券交易所创业板 上市,证券代码:300369。绿盟科技在国内设有 40 多个分支机构,为政 府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国 硅谷、日本东京、英国伦敦、新加坡设立海外子公司,深入开展全球业务,打造全球网络安全行业的中国品牌。 关于星云实验室 绿盟科技星云实验室专注于云计算安全、云原生安全、解决方案研究与虚拟化网络安全问题研究。基于 IaaS 环境的安全防护,利用 SDN/NFV 等新技术和新理念,提出了软件定义安全的云安全防护体系。承担并完成多个国家、省、市以及行业重点单位创新研究课题,已成功孵化落地绿盟科技云安全解决方案、绿盟科技云原生安全解决方案。 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。 执行摘要1专业名词解释2 01 云上数据泄露事件分类说明3 02 2024 上半年全球云上数据泄露典型事件解读5 2.1西班牙房屋租赁公司 EscapadaRural 泄露 300 万客户信息62.2在线词典 Glosbe 泄露近 700 万用户数据92.3谷歌云服务 GoogleFirebase 泄露 1.25 亿条用户记录112.4中国某公证处 1.9 万公民信息、公正材料存在泄露风险122.5爱尔兰出租车软件公司 iCabbi 泄露近 30 万乘客信息142.6巴西游戏开发公司AsanteeGames 泄露数百万玩家信息152.7全球票务公司 Ticketmaster 泄露约 5.6 亿用户信息172.8中国某信息技术公司自建镜像仓库存在泄露风险202.9美国电信巨头 AT&T 泄露约 1.1 亿用户电话记录222.10丰田公司泄露 240GB 员工和客户信息24 CONTENTS 03 安全建议263.1针对杂项错误的安全建议273.2针对系统入侵的安全建议283.3针对基础 Web 应用攻击的安全建议283.4其他建议29 04 总结30 05参考文献 33 执行摘要 近年来,随着云计算技术的迅猛发展,企业在公有云和混合云环境中的业务部署显著增加,随之而来的云租户及云环境安全风险也大幅提升,尤其是云上数据泄露风险持续攀升,许多企业因配置错误等问题发生了严重的数据泄露事件,引发了广泛关注。 绿盟科技创新研究院在云上风险发现和数据泄露领域已有多年深入研究,目前已发布了多篇报告,包括《2021绿盟科技网络空间测绘年报》[1]、《2022绿盟科技网络空间测绘年报·云上风险测绘篇》[2]和《2023公有云安全风险分析报告》[3]。2023年,全球发生了多起云上数据泄露事件,例如,2023年2月,由于配置错误,Digital Ocean的对象存储公开可访问,导致印度跨国银行的数百万条数据泄露[4],2023年5月,Toyota Connected因云配置错误发生大规模数据泄露,泄露持续了多年[5]。 今年我们持续关注全球云上数据泄露风险态势,本报告首先对2024上半年发生的云上数据泄露事件分类和映射的ATT&CK攻击技术进行了具体说明,以便读者易于理解后续内容。 其次,我们对2024上半年全球发生的较大规模云上数据泄露风险和事件进行了详细分析,据绿盟科技创新研究院的统计,2024年上半年全球发生了16起云上数据泄露事件,泄露总量约为12亿公民隐私数据。在16起事件中,发生云上数据泄露事件最多的国家是美国,共发生8起,涉及泄露数据高达10亿。行业方面,零售业泄露数据量最多,约9.4亿条。事件原因方面,11起事件是由杂项错误引起,造成约2567万数据泄露;1起事件是由Web应用攻击引起,造成约1.25亿数据泄露;4起事件是由系统入侵引起,造成约10.5亿数据泄露。本报告主要聚焦于事件成因分析。由于大多数事件成因相似,限于篇幅,我们选取了十起典型行业案例进行详细说明,以展示云上数据泄露的整体态势。 最后,根据事件背后的成因分析,我们针对性地提出了相应的安全建议。本报告旨在提升公众对云上数据泄露的关注,并深入了解其背后成因,以便及时采取有效措施降低云上数据泄露风险,保护资产安全。 专业名词解释 云上数据:泛指公有云、自建云、混合云、多云服务上运行的业务数据。 ATT&CK:MITRE在2013年 推 出 了ATT&CK™模 型, 全 称 为Adversarial Tactics,Techniques,and Common Knowledge(ATT&CK),它是一个站在攻击者的视角来描述攻击中各阶段用到的技术的模型[6]。将已知攻击者行为转换为结构化列表,将这些已知的行为汇总成战术和技术,并通过几个矩阵以及结构化威胁信息表达式(STIX)、指标信息的可信自动化交换(TAXII)来表示。 事件分类:在云上数据泄露事件的视角下,事件分类可以帮助企业识别、分析和应对不同类型的数据泄露风险,典型的事件分类如基础Web应用攻击、拒绝服务攻击、丢失或被窃取的资产等。 云上数据泄露事件分类说明 在对2024年上半年的云上数据泄露事件进行深入分析之前,我们首先归纳云上数据泄露事件的主要攻击路径和手法,并梳理云上数据泄露事件分类,有助于读者在后续的具体事件分析章节中更好地理解事件成因与事件分类之间的对应关系。 关于事件分类,我们参考了VERIZON数据泄露报告[7]中的事件分类模式(IncidentClassification Patterns),其中包括以下八种模式: ●Basic Web Application Attacks:基础Web应用攻击,攻击主要针对Web应用程序,攻击范围为边界攻击,未侵入系统内部进行额外操作。●Denial of Service:拒绝服务攻击,此类攻击旨在破坏网络和系统的可用性,包括网络层和应用层攻击。●Lost and Stolen Assets:遗失和被盗窃的资产,包括由于误放置或恶意行为而丢失的资产。●Miscellaneous Errors:杂项类错误,涵盖因无意行为直接危及信息资产安全性的事件。但不包括丢失设备,这类行为应归类为盗窃。●Privilege Misuse:特权滥用,此类攻击主要指未经授权或恶意使用合法权限所导致的行为。●Social Engineering:社会工程学,此类攻击涉及对人的心里操控,诱使受害者采取某种行为违反保密性。●System Intrusion:系统入侵,指相对复杂的攻击,如利用恶意软件和黑客技术实现目标。●Everything Else:其他项,泛指不符合以上7种分类模式范围的事件类型。 关于云上攻击路径及其涉及的具体技术,我们引用了MITRE ATT&CK矩阵1,在接下来的章节中,我们将从多个维度对具体事件进行深入解读,包括:事件时间、泄露规模、事件回顾、事件分析、VERIZON事件分类以及所使用的MITRE ATT&CK技术,这些维度将帮助我们更全面地理解云上攻击的特征与趋势。 2024 上半年全球云上数据泄露典型事件解读 2.1西班牙房屋租赁公司Escapada Rural泄露300万客户信息 事件时间:2024年1月8日 泄露规模:约290万客户的个人信息,包含姓名、电子邮件地址、电话号码等 事件回顾: 2024年1月8日,Cybernews研究团队发现一个允许任意用户访问的Amazon S3对象存储服务,并定位到该服务归属于西班牙一家提供房屋租赁服务的公司――EscapadaRural。该对象存储服务中的一个CSV文件中有约290万客户信息,包含姓名、电子邮件地址、性别、出生日期和电话号码等。另外,该S3对象存储中还包含一个数据库备份文件,但其中信息并不太敏感,多是一些来自booking和其他平台的房产列表信息。 Cybernews研究团队进一步研究发现,他们并不是第一个发现该暴露服务的。2023年7月,不法分子louhunter已将该数据集发布在BreachForums论坛1进行售卖。而EscapadaRural在这六个月期间并未发现数据泄露问题。 事件分析: Amazon S3是亚马逊云提供的一项对象存储服务,它提供了可配置的安全性、数据保护、合规性和访问控制功能保护用户的数据安全[8]。但是对于对象存储服务的访问,Amazon并未强制要求配置访问控制策略,用户仍可以配置对象存储服务的公开访问。 导致此次数据泄露事件的主要原因是服务配置错误。Escapada Rural公司未对其使用的Amazon S3对象存储服务配置安全的访问控制策略,可能导致任何人均可公开访问该对象存储服务,包含恶意攻击者。 VERIZON事件分类:Miscellaneous Errors(杂项错误) 2.2在线词典Glosbe泄露近700万用户数据 事件时间:2024年3月7日 泄露规模:700万用户个人数据、加密密码、社交媒体账号及其他信息 事件回顾: 2023年12月,Cybernews研究团队发现一个互联网中能够公开访问的MongoDB数据库服务,该服务中包含近700万用户的个人数据、加密密码、社交媒体标识符和其他详细信息。通过分析,Cybernews研究团队定位到该服务归属于Glosbe在线词典,它号称支持世界上所有语言。 Cybernews研究团队于当月联系了Glosbe官方人员通报此次事件。虽然Glosbe并未对此进行正面回复,但涉事MongoDB服务已被关闭。2024年3月,Cybernews研究团队在官方Blog中发布了该事件说明。 事件分析: MongoDB是一种面向文档的数据库系统,广泛用于处理非结构化数据[9]。MongoDB社 2024 上半年全球云上数据泄露风险分析报告 区版的默认配置不会启用访问控制和身份验证机制,这意味着数据库在安装后,如果没有进一步进行安全配置,数据库里的数据将公开给所有可以访问的人。 导致此次数据泄露事件的主要原因是服务配置错误,包含以下两点: 1.未设置访问控制列表(ACL),使得任何人可以通过公开的IP地址访问。 2.未启用认证机制,使得任何可以访问数据库的人可以操作数据库中的数据。 这些配置错误让攻击者能够轻松使用扫描工具发现并访问未保护的数据库实例,从而窃取其中的敏感信息。 VERIZON事件分类:Miscellaneous Errors(杂项错误) 2.3谷歌云服务Google Firebase泄露1.25亿条用户记录 事件时间:2024年3月18日 泄露规模:数百个网站暴露了总计约1.25亿条用户记录 事件回顾: 2024年3月18日,三位独立安全研究员发表了一篇帖子,称他们扫描了5.5万个网站中的JavaScript代码,发现超900个Google Firebase凭证信息,可能导致近1.25亿条用户信息泄露,包括明文密码、账单等敏感信息。 之后,三位安全研究员在13天内共计给受影响的网站运营者发送了842封电子邮件。其中,85%电子邮件已送达,9%电子邮件被退回。不久之后,约24%的网站修复了该问题。其中,约1%的网站运营者进行了邮件回复,0.2%网站运营者给三位安全研究员提供了漏洞赏金。 事件分析: Google Firebase1是一项由Google提供的云服务,通过提供实时数据库、认证、云存储、云函数、推送通知等一系列工具和服务,帮助开发者构建高质量的应用程序[10]。虽然Google Firebase提供了完善、可扩展安全规则,用于保护用户在Cloud Firestore、FirebaseRealtime Database和Cloud Storage中存储的
