全球云上数据泄露风险分析简报 （第五期）

（第五期）云上数据泄露风险分析报告 前言 CONTENTS 01 全球 1-2 月云上数据泄露典型事件解读1 关于绿盟科技 绿盟科技集团股份有限公司（以下简称绿盟科技），成立于 2000年 4 月，总部位于北京。公司于 2014 年 1 月 29 日起在深圳证券交易所创业板 上市，证券代码：300369。绿盟科技在国内设有 40 多个分支机构，为政 府、运营商、金融、能源、互联网以及教育、医疗等行业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国 硅谷、日本东京、英国伦敦、新加坡设立海外子公司，深入开展全球业务，打造全球网络安全行业的中国品牌。 事件一 .Deepseek 公司使用的Clickhouse数据库存在配置错误导致出现严重聊天数据泄露2 事件二 .美国广播公司 ValleyNews 使用的AWSS3 对象存储存在配置错误导致大量敏感信息泄露4 事件三 .攻击者通过非法上传DeepSeek 恶意依赖包引发供应链攻击，大量用户凭据遭至泄露6 事件四 .大量用户凭证失窃，LLM 劫持攻击目标转向 DeepSeek9 关于星云实验室 绿盟科技星云实验室专注于云计算安全、云原生安全、解决方案研究与虚拟化网络安全问题研究。基于 IaaS 环境的安全防护，利用 SDN/NFV 等新技术和新理念，提出了软件定义安全的云安全防护体系。承担并完成多个国家、省、市以及行业重点单位创新研究课题，已成功孵化落地绿盟科技云安全解决方案、绿盟科技云原生安全解决方案。 事件五 .大模型集成工具 OmniGPT数据泄露 ：超 30000 用户数据在暗网公开售卖11 事件六 .印度新型恶意软件攻击致 50000 银行用户信息泄露13 事件七 .攻击者通过设备代码身份验证入侵Microsoft365 账户至敏感信息泄露15 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。 事件八 .印度尼西亚共和国银行使用的微软云盘 Onedrive 暴露19 前言 本报告为绿盟科技星云实验室发布的第五期云上数据泄露简报，聚焦 2025年 1-2 月期间的全球云上数据泄露事件。鉴于多数事件成因相似，我们精选了10 起典型案例进行深入分析，以全面呈现云上数据泄露的整体态势。值得注意的是，其中 5 起事件与大模型技术密切相关，凸显了随着 Deepseek、Ollama等开源模型的广泛应用，云上数据安全正面临显著的“AI 驱动型风险”。从事件成因来看，6 起事件源于配置错误，2 起由社工攻击引发，1 起涉及 Web 基础类攻击，另 1 起则为系统入侵所致。由此可见，租户配置错误仍是导致数据泄露的主要因素。 事件十 .Daytrip 使用的 Mongo 数据库服务因错误配置导致超过 47 万用户旅行数据泄露22 02 安全建议25 2.1针对杂项错误类的安全建议262.2针对系统入侵的安全建议282.3针对基础Web应用类攻击的安全建议282.4针对社工类攻击的安全建议28 03 总结30 04 参考文献34 事件一 ：Deepseek 公司使用的 Clickhouse 数据库存在配置错误导致出现严重聊天数据泄露 事件时间：2025 年 1 月 29 日 泄露规模：百万行的日志流，包含聊天历史记录，密钥等敏感信息 事件回顾： 2025 年 1 月 29 日，Wiz 安 全 研 究 团 队 发 现 了 互 联 网 中 一 个 暴 露 的Clickhouse 服务，并确定该服务属于我国 AI 初创公司深度探索（DeepSeek）。Clickhouse 能够对底层的数据库中的数据进行访问，利用该 Clickhouse 服务，Wiz 安全研究员发现了约一百万行 DeepSeek 的日志流，包含历史聊天记录，密钥等其他敏感信息。 发 现 问 题 后，Wiz 安 全 研 究 团 队 立 即 向 DeepSeek 通 报 了 这 一 问 题，DeepSeek 立即对其暴露的 Clickhouse 服务进行了安全处置。 事件分析： ClickHouse 是一个开源的列式数据库管理系统（DBMS），专为在线分析处理（OLAP）设计。它能够高效处理大规模数据，支持实时查询和分析，适用于日志分析、用户行为分析等场景。ClickHouse 存在未授权访问漏洞，对于一个未添加任何访问控制机制的 ClickHouse 服务，任意用户可以通过该服务暴露的API 接口执行类 SQL 命令。 全球 1-2 月云上数据泄露典型事件解读 本次事件中，Wiz 安全研究团队通过技术手段探测了约 30 个 DeepSeek 面向互联网的子域名的 80 和 443 端口。这些暴露服务大多是托管聊天机器人界面、状态页面和 API 文档等资源，也都没有相关安全风险。为了进一步探寻DeepSeek 的暴露风险，Wiz 安全研究团队将探测范围扩大到了除 80、443 端口之外的非常规端口，如 8123、9000 端口等。最终，他们发现了非常规端口的多个子域名下均有暴露服，如： •http://dev.deepseek.com:8123•http://oauth2callback.deepseek.com:9000•http://dev.deepseek.com:9000•http://oauth2callback.deepseek.com:8123 在 确 定 这 几 个 暴 露 的 服 务 为 Clickhouse 后，Wiz 安 全 研 究 团 队 通 过ClickHouse 服务的 API 对底层的数据库进行查询测试，包含查询数据库、查询数据库中的表，如下图所示： 从 2025 年 1 月 6 日起， 存在泄露风险的日志信息包含对各种内部 DeepSeekAPI 端点的调用日志、纯文本日志，包括聊天历史记录、API 密钥、后端详细信息和操作元数据等。 VERIZON 事件分类：Miscellaneous Errors（杂项错误） 参考链接： https://www.wiz.io/blog/wiz-research-uncovers-exposed-deepseek-database-leak 事件二 ：美国广播公司 Valley News 使用的 AWS S3 对象存储存在配置错误导致大量敏感信息泄露 事件时间：2025 年 2 月 4 日 泄露规模：超过 180 万份文件泄露，其中超过 100 万个是求职者的简历，里面包含姓名、电话号码、电子邮箱、家庭住址等个人敏感信息 事件回顾： 2025 年 2 月，Cybernews 研究团队发现美国广播公司 Valley News Live使用的 Amazon AWS S3 存储桶存在配置错误，导致存储桶内超过 180 万份文件存在泄露风险，其中超过 100 万个是求职者的简历，甚至超过一半的曝光简历跨域多年，时间跨度从 2017 年到 2024 年不等。这些简历中包含了求职者的个人姓名、电话号码、电子邮箱、家庭地址、出生日期、国籍和出生地、社交媒体链接、工作经历和学历等个人敏感信息。这些个人信息可能会导致被暴露者的身份存在盗用风险。 参考链接： https://cybernews.com/security/valley-news-live-data-leak/ 事件三：攻击者通过非法上传 DeepSeek 恶意依赖包引发供应链攻击，大量用户凭据遭至泄露 事件时间：2025 年 2 月 3 日 泄露规模：部分用户凭据及环境变量 事件回顾： 2025 年 1 月 19 日，恶意用户 bvk 首次上传两个恶意 python 包 (deepseek和 deepseekai) 至 PyPI 事件分析： Amazon S3 是一项面向公有云的对象存储服务，可通过 Amazon S3 随时在Web 上的任何位置存储和检索的任意大小的数据。其提供了可配置的安全性、数据保护、合规性和访问控制功能保护用户的数据安全。如果使用者权限配置不当，对象存储服务中的数据将公开给所有人访问。 导致此次数据泄露事件的主要原因是服务配置错误。Valley News Live 在使用 Amazon S3 对象存储服务时没有配置安全的访问控制策略，导致任何人均可公开访问该对象存储服务。 VERIZON 事件分类：Miscellaneous Errors（杂项错误） 同日，Positive Technologies Expert Security Center (PT ESC) 威胁情报团队通过系统捕获到异常活动 同日，Positive Technologies Expert Security Center (PT ESC) 技术团队分析验证并通知 PyPI 管理员 同日，PyPI 管理员删除了以上两个恶意 python 包并通知了 PT ESC 经统计，在恶意 python 包被上传后，全球多达 17 个国家，通过各种下载渠道共下载恶意软件高达 200 多次，目前两个恶意软件包已被隔离 从以上载荷中不难看出攻击者使用了 PipeDream，作为被盗数据命令控制服务器，回顾整个事件，我们认为时间成因可汇总为以下几方面： 事件分析： 据 PT ESC 技术团队反馈，恶意用户上传的软件包中主要涉及信息收集和环境变量窃取等功能，窃取数据包括如数据库凭据、API、S3 对象存储访问凭证等。当用户在命令行中运行 Deepseek 或 Deepseekai 时，将执行恶意载荷。 依赖混淆攻击：利用企业私有包与公共仓库同名包优先级差异 软件包命名仿冒策略：模仿知名 AI 公司 Deepseek 品牌名称 2025 年 1 月 20 日，DeepSeek 发 布 了 一 种 称 为 DeepSeek-R1 的 推 理 模型。 次 日， 支 持 DeepSeek-R1 的 ORP 项 目 已 经 出 现， 多 个 ORP 已 填 充 了DeepSeek API 密钥，并且已有攻击者开始利用这些密钥。 PyPI 注册机制漏洞：未有效验证开发者身份与包名合法性 开发者安全意识不足：易误装名称相近的恶意包 VERIZON 事件分类：Social Engineering（社工） 在 Sysdig 威胁研究团队的研究工作中，已发现所有 ORP 非法利用的大模型Token 总数已超过 20 亿。 所用 MITRE ATT&CK 技术： 事件分析： LLM 劫持攻击指攻击者利用窃取的云凭证，针对云托管的 LLM 服务发起的劫持攻击。攻击者利用 OAIOAI 反向代理和窃取到的云凭证，将受害者订阅的云托管 LLM 服务的访问权限进行出售。该攻击可能导致受害者承受巨额的云服务成本。 参考链接： OAI 反向代理指 LLM 服务的反向代理，OAI 反向代理可以帮助攻击者集中管理对多个 LLM 账户的访问，而不暴露底层的凭据和凭据池。利用 OAIOAI 反向代理，攻击者能够在没有支付相应费用的情况下运行高成本的 LLM（如 DeepSeek）。攻击者通过反向代理访问这些 LLM，实际执行任务和消耗计算资源，从而绕过了合法的服务收费。反向代理机制充当了中介角色，重定向请求并隐藏了攻击者的身份，使其能够在不被察觉的情况下滥用云计算资源。 https://global.ptsecurity.com/analytics/pt-esc-thre