全球云上数据泄露风险分析简报第六期

云上数据泄露风险分析报告（第六期） 关于绿盟科技 绿盟科技集团股份有限公司（以下简称绿盟科技），成立于2000年4月，总部位于北京。公司于2014年1月29日起在深圳证券交易所创业板上市，证券代码：300369。绿盟科技在国内设有40多个分支机构，为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡设立海外子公司，深入开展全球业务，打造全球网络安全行业的中国品牌。 关于星云实验室 绿盟科技星云实验室专注于云计算安全、云原生安全、解决方案研究与虚拟化网络安全问题研究。基于IaaS环境，结合SDN/NFV等新技术，提出软件定义安全的云防护体系。已承担并完成多项国家级、省市级及行业重点课题，成功孵化绿盟科技云安全及云原生安全解决方案。创新研究方向涵盖云上风险发现、云原生攻防靶场、攻击套件、API安全及入侵模拟等。 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。 前言 01全球3-6月云上数据泄露典型事件解读1 事件一.尼日利亚社会投资协调平台泄露数千万公民的个人身份信息2 事件二.澳大利亚专业工具零售公司Sydney Tools泄露数千万在线订单信息3 事件三.勒索软件团伙CL0P利用了Cleo零日漏洞引发赫兹租车遭重大数据泄露5 事件四.黑客在一年多的时间里侵入了联邦银行监管机构最高官员的电子邮件账户和15万名员工的电子邮件8 事件五.车辆跟踪服务提供商NexOpt泄露约1TB来自世界各地的位置信息和行驶数据11 事件六.国内某大学重点实验室向量数据库存在数据泄露风险13 事件七.GitHub MCP漏洞影响深远，或引发供应链安全危机15 事件八.微软OneDrive被曝向AI聊天机器人开放用户文件完全读取权限 事件九.微软Defender XDR误报致1700+敏感文件误传ANY.RUN，隐私设置缺陷致数据公开暴露19 事件十.黑客利用微软SharePoint版Copilot AI漏洞窃取密码及敏感数据 21 02安全建议 2.3针对遗失和被盗窃的资产的安全建议28 03总结 30 04参考文献 33 前言 本报告为绿盟科技创新研究院发布的第六期云上数据泄露简报，聚焦2025年3-6月期间的全球云上数据泄露事件。鉴于多数事件成因相似，我们精选了10起典型案例进行深入分析，以全面呈现云上数据泄露的整体态势。值得注意的是，其中4起事件与大模型技术密切相关，凸显了随着Deepseek、Ollama等开源模型的广泛应用，云上数据安全正面临显著的“AI驱动型风险”。从事件成因来看，4起事件源于配置错误，4起由系统入侵引发，由此可见，云租户配置和供应链安全以及社工类攻击仍是导致数据泄露的主要因素。 全球3-6月云上数据泄露典型事件解读 事件一：尼日利亚社会投资协调平台泄露数千万公民的个人身份信息 事件时间：2025年3月 泄露规模：约2300万份社会福利申请表，包括护照、住址、出生证明、教育证明等信息 事件回顾： 2025年3月，Cybernews研究团队发现一个暴露的AmazonS3对象存储服务，并定位到该服务归属于NASIMS尼日利亚社会投资协调平台。该对象存储服务中存储了超过2300万份文件，包括护照、出生证明、教育证明以及NPower提交的申请等。NPower是一项旨在解决青年失业问题的社会福利计划。NPower申请人使用NASIMS平台申请加入该计划。 Cybernews研究团队多次联系NASIMS管理人员和尼日利亚相关部门进行治理，该数据泄露事件已于3月31日得到解决。 事件分析： AmazonS3是亚马逊云提供的一项对象存储服务，它提供了可配置的安全性、数据保护、合规性和访问控制功能保护用户的数据安全。对于S3对象存储服务的访问，Amazon并未强制要求配置访问控制策略，用户仍可以配置对象存储服务的公开访问。 导致此次数据泄露事件的主要原因是服务配置错误。尼日利亚社会投资协调平台未对其使用的AmazonS3对象存储服务配置安全的访问控制策略，导致任何人均可公开访问该对象存储服务，可能包含恶意攻击者。 VERIZON事件分类：Miscellaneous Errors（杂项错误） 所用MITRE ATT&CK技术： 参考链接： https://cybernews.com/security/government-data-leak-nasims-citizen-records/ 事件二：澳大利亚专业工具零售公司SydneyTools泄露数千万在线订单信息 事件时间：2025年3月 泄露规模：超5000条公司员工信息、超3400万条订单信息 事件回顾： 2025年3月，Cybernews研究团队发现一个暴露的ClickHouse服务，并定位到该服务归属于澳大利亚专业工具、装备零售公司SydneyTools。暴露的ClickHouse服务包含超过5000条公司员工个人身份信息，包含姓名、工作部门、薪资以及KPI情况。除此之外，该服务中还包含了超3400万条在线订单信息，包含消费者姓名、电子邮件、家庭住址、联系方式及购买商品情况等。 事件发生后，Cybernews研究团队层多次尝试联系该公司，但暴露的实例并未关闭，这意味着数据泄露至今仍在继续。 事件分析： ClickHouse是一个开源的列式数据库管理系统(DBMS),专为在线分析处理(OLAP)设计。它能够高效处理大规模数据，支持实时查询和分析，适用于日志分析、用户行为分析等场景。ClickHouse存在未授权访问漏洞，对于一个未添加任何访问控制机制的ClickHouse服务，任意用户可以通过该服务暴露的API接口执行类SQL命令。 导致此次SydneyTools公司数据泄露风险事件的主要原因为其使用的ClickHouse数据库存在的未授权访问漏洞。ClickHouse服务如果允许外网访问且没有做安全认证，就会被互联网用户任意访问，查看所有数据。攻击者可能通过OSINT方式，发现互联网中暴露的ClickHouse资产，并进一步利用未授权访问漏洞，通过ClickHouse服务开放的接口对数据库进行增删改查操作，实施数据窃取，引发数据泄露事件。 VERIZON事件分类：Miscellaneous Errors（杂项错误） 所用MITRE ATT&CK技术：导致此次数据泄露事件的主要原因是服务配置错误。尼日利亚社会投资协调平台未对其使用的AmazonS3对象存储服务配置安全的访问控制策略，导致任何人均可公开访问该对象存储服务，可能包含恶意攻击者。 VERIZON事件分类：Miscellaneous Errors（杂项错误） 参考链接： https://cybernews.com/security/government-data-leak-nasims-citizen-records/ 事件三：勒索软件团伙CL0P利用了Cleo零日漏洞引发赫兹租车遭重大数据泄露 事件时间：2025年4月 泄露规模：大量赫兹租车客户隐私信息包括姓名、联系信息、驾照、社会保险号、护照、医疗保险等敏感信息泄露 事件回顾： 2024年末，全球知名汽车租赁公司赫兹（Hertz）爆发重大数据泄露事件。黑客组织CL0P利用赫兹合作供应商—文件传输平台Cleo Communications的关键零日漏洞（CVE-2024-50623），在2024年10月至12月期间非法访问系统，窃取了数十万客户的个人信息。 赫兹于2025年2月10日首次公开确认数据被未经授权第三方获取，随后进行深入调查，并于2025年4月2日公布详细报告。泄露影响赫兹旗下品牌Hertz、Dollar和Thrifty的客户，涉及信息包括姓名、联系方式、出生日期、信用卡信息、驾驶执照信息以及与工伤赔偿相关的敏感数据。更严重的是，少部分客户的社会安全号码、护照信息及医疗保险ID也被窃取。赫兹虽未发现数据被滥用的直接证据，但事件规模和敏感性引发广泛用户担忧。作为补救措施，赫兹为受影响客户提供了为期两年的免费身份监测服务，并建议用户定期检查信用报告和账户活动，以防范潜在身份盗窃风险。 事件分析： 事件的根本原因是赫兹合作供应商Cleo Communications的文件传输平台存在严重安全漏洞，具体表现为零日漏洞CVE-2024-50623被恶意利用。详细分析如下： 漏洞技术细节与利用过程： 漏洞本质：CVE-2024-50623是一个未公开的零日漏洞，存在于Cleo文件传输平台的软件架构中。该漏洞允许攻击者绕过认证机制，非法访问系统并执行远程代码。具体而言，漏洞源于软件中的自动运行功能缺陷，攻击者可通过恶意文件触发该功能，在服务器上执行任意命令，从而获得系统控制权。 攻击链：黑客组织CL0P在2024年10月至12月期间利用此漏洞入侵Cleo平台。安全研究机构Huntress的分析显示，CL0P首先通过漏洞植入恶意后门，持续监视并窃取传输中的客户数据；随后，他们绕过Cleo发布的初步补丁（补丁未能完全修复漏洞），利用自动运行缺陷扩大攻击面，最终窃取包括信用卡信息和社会安全号码在内的敏感数据。 漏洞修复失败：Cleo虽在事件后发布补丁，但补丁存在设计缺陷，导致攻击者仍能通过变种攻击绕过防护机制。这突显了第三方软件在漏洞管理上的不足，例如未进行充分的安全测试和漏洞评估。 供应链安全管理薄弱：事件暴露了赫兹在供应链安全管理上的重大缺陷。赫兹过度依赖Cleo这类第三方供应商，却未严格执行安全审查机制，如未对Cleo软件进行定期渗透测试或漏洞扫描。供应链环节的脆弱性使黑客得以通过单一漏洞横向渗透至赫兹核心系统。 风险评估不足：企业对第三方软件的依赖缺乏风险控制策略，例如未建立供应商安全评估框架或实时监控机制。这导致Cleo漏洞未被及时发现，攻击窗口长达数月。 此次事件由俄罗斯关联的勒索软件组织CL0P操控，该团伙是近年来全球最具破坏性的网络犯罪组织之一，其攻击模式高度专业化且屡试不爽。CL0P采用“勒索软件即服务”（RaaS）模式，通过双重勒索策略——先加密数据，再威胁公开窃取的信息——向全球企业施压。值得注意的是，这已是该组织的惯用伎俩：早在2023年，CL0P就曾利用MOVEit文件传输系统的零日漏洞（CVE-2023-34362）发起大规模供应链攻击，波及壳牌、德意志银行、BBC等900多家机构，影响超2000万人。此次攻击再次印证了该组织偏好针对文件传输系统的漏洞，利用成熟攻击框架实施精准打击。 VERIZON事件分类：System Intrusion（系统入侵） 参考链接： https://hackernews.cc/archives/58342 https://www.malwarebytes.com/blog/news/2025/04/hertz-data-breach-caused-by-cl0p-ransomware-attack-on-vendor 事件四：黑客在一年多的时间里侵入了联邦银行监管机构最高官员的电子邮件账户和15万名员工的电子邮件 事件时间：2025年3月 泄露规模：约103家银行监管机构，15万名员工的电子邮件 事件回顾： 此次入侵事件始于2023年5月，攻击者入侵了美国货币监理署（OCC）一名管理员的账户；微软安全团队于2025年2月12日向OCC通报异常网络行为，OCC随后确认存在未经授权的活动；2025年2月26日，OCC公开披露事件，称少量高管及关键岗位（如高级副审计长、国际银行监管机构）的邮箱遭入侵，泄露信息包含金融机构财务状况等高度敏感数据；2025年4月8日，OCC向国