云安全漏洞事件频发,我们能从中学到什么?

发表于 2年以前  | 总阅读数:1038 次

当疫情将我们限制在家里时,考验线上交互产品的时间到了。运营交互产品的公司战战兢兢,一怕公司访问资源不够用;二怕黑客搞游击战己方分身乏术。

2020年,美国提高网络安全支出,但即便增长率高达10%,也没能摸到数字化转型的脚后跟。在网络安全方面,美国正处于捉襟见肘的局面,实在无法保卫公有云基础设施和现代化应用程序。

就在大家放弃抵抗的同时,那些复杂的环境、碎片化的堆栈;那些无穷无尽的基础设施;那些前所未有的速度和庞大的数据规模,每一拳都捶打在网络安全的痛点上。

下面会分述2020年最大的9起云漏洞事件。这个“大”不指受损的数据与数量,而是指暴露的范围和潜在的漏洞。我们会描述这些重大事故是如何发生的,也会总结事件的关键点,希望可以帮到你。

一、内部数据的错误配置

2020年1月,微软公开了一起内部事故:2019年12月5日公司在更改数据库安全组时,员工引入了错误的安全配置规则,导致2.5亿条支持案例记录遭到破坏,其中包括电子邮件、IP地址和支持案例的详细信息。

事后微软表示,这次的事故没有暴露任何商业云服务,也就是说商业客户的数据是安全的。而且一般情况下,个人信息在自动编辑后也会被删除。

客户数据一旦丢失,黑客就会利用这些数据实施钓鱼攻击,后果不堪设想。Check Point 事件处理小组已经发现了许多钓鱼攻击,这些黑客只需发起关键任务,例如“您的 IT 支持邮箱已满”或“新语音邮件:无法访问资源”,就可以通过访问历史记录发动攻击。

值得一提的是,这起事故是由第三方检测出来的,这不但让人们意识到加强内部资源网络安全规则审核的重要性,更意识到检测安全规则错误配置和实时提醒安全团队的重要性。

二、未受保护的数据库有多危险

2021年1月30日,一名网络安全研究员发现,雅诗兰黛教育平台的部分数据库没有密码保护。也就是说,只要你访问就可以纯文本用户电子邮件、IP 地址、端口、路径和存储信息。黑客可以利用这些信息抓取未加密的生产、审计、错误、CMS 和中间件日志了,危险可想而知。

雅诗兰黛发现风险后第一时间修复了这个错误,他们也表示没有泄露任何客户的数据。从这次的事件中我们可以发现三个可以改进的点:

有效的发现和管理对数据库安全至关重要。未受保护的数据随时会变成威胁,还会为网络钓鱼攻击大开方便之门。

绝不能为了灵活轻松的配置云资源取消密码保护,这会付出安全上的惨重代价。

数据应始终加密,即使在非生产数据库中也是如此。

三、八年未受保护的秘密数据库

2020年3月10日《华盛顿邮报》爆出一篇文章,文章中提到一个可以共享秘密的手机应用 Whisper 从2012年到2020年安全事故爆出后,有9亿个帖子的数据库都没有受到保护。数据库中还包括用户的年龄、种族、性别、家乡、昵称和群组成员身份。

Whisper 立刻联系到《华盛顿邮报》删除该文章,同时发现这起事件的网络安全研究员还没有证明这些数据被使用过。

这件事情就这样结束了。但是我们应该知道造成这种事件的原因是什么。CPIRT 的研究人员表示,出现泄露的服务器和服务通常是配置错误和补丁过时。

如果设置一些定时外部攻击和自身扫描检测服务器,也许情况会更好一些。

在混合云和多云的复杂环境下,只有建立有效的安全监控,才能防患于未然。

四、服务器中的人脸识别数据泄露

2020年3月一家巴西生物识别方案公司被安全研究员发现在不设防的服务器上放置着8150万条记录。这些记录中包含的信息有:管理员登录信息、员工电话号码、电子邮件地址、公司电子邮件和与 76,000 个指纹相关的二进制代码,这些代码对指纹可进行逆向追溯。我们在暴露的数据库中还发现了面部识别数据。

这次的问题出在上云的过程中。公司没有将安全的数据配置到基于云的数据库上储存。

CPIRT 的调查员见到过很多次匆忙的云迁移,然而这种自乱阵脚的做法给黑客提供了不少钻空子的机会。

所以应用程序要在从本地基础架构奔向云基础架构时,做好特殊防护措施。比如密码保护和数据加密等等。

五、日常维护期间暴露的 50 亿条记录

2020年3月,一家服务提供商的50亿条记录在日常维护期间遭到暴露。

起因是,数据承包商为了加快 Elasticsearch 数据库的迁移,为互联网索引服务 BinaryEdge 打开一个窗口,关了10分钟防火墙。

一名安全研究人员在这10分钟内通过未受保护的端口访问了数据库,提取了很小一部分记录。可见这是不安全的。

泄露的数据中包括电子邮件和密码。安全管理员云使用这些泄漏的数据通知 Keepnet 的客户自己是否安全。

事后 Keepnet 加强了漏洞的检测强度,即使是在日常也不放松。

在 CPIRT 看来,稳定的安全架构应该从早期设计阶段就开始考虑。否则为了提高性能放弃安全控制系统很容易成为黑客的靶子。

相信这种前期投资可以节省很多安全管理的时间和资源。

六、错误配置的云服务器泄露访客信息

2020年7月,MGM酒店承认自己在暗网上出售1.42亿有关客人的信息。被黑的数据有客人的家庭住址、联系信息、出生日期、驾照号码和护照号码。幸运的是,没有包含财务信息、身份证和预订详情。

这起违规行为可能是2019年7月中的一部分。2010年2月这些信息被黑客购买。黑客通过这些数据实施了钓鱼攻击。

漏洞产生的原因是配置错误的云服务器可以在未经授权的情况下被访问。

我们应该会发现这些错误配置都是人为的,那么自动化安全工作的重要性就不言而喻了。

七、未被发现的个人财务数据泄露

2020 年 9 月,华纳媒体集团 (WMG) 宣布自己成为为期三个月的 Magecart 数据收集攻击的受害者。

从 2020 年 4 月 25 日到 8 月 5 日,黑客将用户的个人信息(姓名、电子邮件地址、电话号码、账单和送货地址)和信用卡信息(卡号、CVC、到期日期)泄露到网站。

在事件发生后对 WMG 提起的集体诉讼中,原告写道: “这一违规行为持续了三个多月而未被发现,这表明华纳媒体集团涉嫌缺乏保护其客户的安全。” WMG 从惨痛的教训中吸取的教训是,下一代监控系统会更快地检测到问题,甚至可以先发制人。

八、加密攻击下的 Kubernetes

2020 年 6 月,黑客在 Microsoft Azure 上的计算密集型 Kubernetes 机器学习节点上发起了一次成功的加密攻击活动。目标是 Kubeflow,这是一个在 Kubernetes 中管理 ML 任务的开源项目。

Kubeflow 的仪表板不是为了安全。错误配置的服务允许未经授权的用户执行 Kubeflow 操作,包括部署的新容器。

Azure 安全中心在此次攻击影响了数十个 Kubernetes 集群,但没有说明资源劫持的范围会影响到黑客利用仪表板进行攻击。

因为云的自动扩展功能,云服务提供商成为加密挖掘活动的常见目标。受害者通常只有在月底收到极高的云使用账单时才会意识到这一漏洞。

在任何情况下,完全依赖云服务提供商的安全控制系统是不可取的。每个组织都必须了解其在云安全的责任。

九、商业伙伴可以看到用户注册信息

2020年12月,音乐播放软件 Spotify 表示有数量未公开的用户注册信息意外暴露给了它的业务合作伙伴。 Spotify 的业务合作伙伴可能会访问用户的敏感信息,包括用户的电子邮件地址、首选显示名称、密码、性别和出生日期。该漏洞是 4 月份发生的直到11 月份才被系统发现。

如果可以自动扫描和定期攻击测试,这些系统可能会更有效一些。

保证自己云资产的安全不仅仅是 Spotify 的难题,更是所有互联网企业需要面临的问题。

2020 年 6 月,参与IDC 云安全调查的 300 名美国 CISO(信息安全官)表示,云生产环境的首要问题是安全配置错误 (67%)、缺乏对访问设置和活动的可见性 (64%) 以及身份和访问管理 (IAM) 错误 (61%)。他们的云安全优先事项是合规性监控 (78%)、授权和权限管理 (75%) 以及安全配置管理 (73%)。

由于以上挑战和优先事项,企业正在寻求第三方安全供应商来补充其云提供商的安全工具和服务,并提供自动化和统一的云安全解决方案。

写在最后

保持网络和数据资产安全是安全团队和黑客之间永无休止的战斗。资产管理不善、安全配置错误和数据未加密是导致敏感数据和其他资源产生漏洞的主要原因。

漏洞是云网络安全和云安全管理不良的结果。我们理应举一反三,不要被同一个问题绊倒两次。

 相关推荐

刘强东夫妇:“移民美国”传言被驳斥

京东创始人刘强东和其妻子章泽天最近成为了互联网舆论关注的焦点。有关他们“移民美国”和在美国购买豪宅的传言在互联网上广泛传播。然而,京东官方通过微博发言人发布的消息澄清了这些传言,称这些言论纯属虚假信息和蓄意捏造。

发布于:6月以前  |  808次阅读  |  详细内容 »

博主曝三大运营商,将集体采购百万台华为Mate60系列

日前,据博主“@超能数码君老周”爆料,国内三大运营商中国移动、中国电信和中国联通预计将集体采购百万台规模的华为Mate60系列手机。

发布于:6月以前  |  770次阅读  |  详细内容 »

ASML CEO警告:出口管制不是可行做法,不要“逼迫中国大陆创新”

据报道,荷兰半导体设备公司ASML正看到美国对华遏制政策的负面影响。阿斯麦(ASML)CEO彼得·温宁克在一档电视节目中分享了他对中国大陆问题以及该公司面临的出口管制和保护主义的看法。彼得曾在多个场合表达了他对出口管制以及中荷经济关系的担忧。

发布于:6月以前  |  756次阅读  |  详细内容 »

抖音中长视频App青桃更名抖音精选,字节再发力对抗B站

今年早些时候,抖音悄然上线了一款名为“青桃”的 App,Slogan 为“看见你的热爱”,根据应用介绍可知,“青桃”是一个属于年轻人的兴趣知识视频平台,由抖音官方出品的中长视频关联版本,整体风格有些类似B站。

发布于:6月以前  |  648次阅读  |  详细内容 »

威马CDO:中国每百户家庭仅17户有车

日前,威马汽车首席数据官梅松林转发了一份“世界各国地区拥车率排行榜”,同时,他发文表示:中国汽车普及率低于非洲国家尼日利亚,每百户家庭仅17户有车。意大利世界排名第一,每十户中九户有车。

发布于:6月以前  |  589次阅读  |  详细内容 »

研究发现维生素 C 等抗氧化剂会刺激癌症生长和转移

近日,一项新的研究发现,维生素 C 和 E 等抗氧化剂会激活一种机制,刺激癌症肿瘤中新血管的生长,帮助它们生长和扩散。

发布于:6月以前  |  449次阅读  |  详细内容 »

苹果据称正引入3D打印技术,用以生产智能手表的钢质底盘

据媒体援引消息人士报道,苹果公司正在测试使用3D打印技术来生产其智能手表的钢质底盘。消息传出后,3D系统一度大涨超10%,不过截至周三收盘,该股涨幅回落至2%以内。

发布于:7月以前  |  446次阅读  |  详细内容 »

千万级抖音网红秀才账号被封禁

9月2日,坐拥千万粉丝的网红主播“秀才”账号被封禁,在社交媒体平台上引发热议。平台相关负责人表示,“秀才”账号违反平台相关规定,已封禁。据知情人士透露,秀才近期被举报存在违法行为,这可能是他被封禁的部分原因。据悉,“秀才”年龄39岁,是安徽省亳州市蒙城县人,抖音网红,粉丝数量超1200万。他曾被称为“中老年...

发布于:6月以前  |  445次阅读  |  详细内容 »

亚马逊股东起诉公司和贝索斯,称其在购买卫星发射服务时忽视了 SpaceX

9月3日消息,亚马逊的一些股东,包括持有该公司股票的一家养老基金,日前对亚马逊、其创始人贝索斯和其董事会提起诉讼,指控他们在为 Project Kuiper 卫星星座项目购买发射服务时“违反了信义义务”。

发布于:6月以前  |  444次阅读  |  详细内容 »

苹果上线AppsbyApple网站,以推广自家应用程序

据消息,为推广自家应用,苹果现推出了一个名为“Apps by Apple”的网站,展示了苹果为旗下产品(如 iPhone、iPad、Apple Watch、Mac 和 Apple TV)开发的各种应用程序。

发布于:6月以前  |  442次阅读  |  详细内容 »

特斯拉美国降价引发投资者不满:“这是短期麻醉剂”

特斯拉本周在美国大幅下调Model S和X售价,引发了该公司一些最坚定支持者的不满。知名特斯拉多头、未来基金(Future Fund)管理合伙人加里·布莱克发帖称,降价是一种“短期麻醉剂”,会让潜在客户等待进一步降价。

发布于:6月以前  |  441次阅读  |  详细内容 »

光刻机巨头阿斯麦:拿到许可,继续对华出口

据外媒9月2日报道,荷兰半导体设备制造商阿斯麦称,尽管荷兰政府颁布的半导体设备出口管制新规9月正式生效,但该公司已获得在2023年底以前向中国运送受限制芯片制造机器的许可。

发布于:6月以前  |  437次阅读  |  详细内容 »

马斯克与库克首次隔空合作:为苹果提供卫星服务

近日,根据美国证券交易委员会的文件显示,苹果卫星服务提供商 Globalstar 近期向马斯克旗下的 SpaceX 支付 6400 万美元(约 4.65 亿元人民币)。用于在 2023-2025 年期间,发射卫星,进一步扩展苹果 iPhone 系列的 SOS 卫星服务。

发布于:6月以前  |  430次阅读  |  详细内容 »

𝕏(推特)调整隐私政策,可拿用户发布的信息训练 AI 模型

据报道,马斯克旗下社交平台𝕏(推特)日前调整了隐私政策,允许 𝕏 使用用户发布的信息来训练其人工智能(AI)模型。新的隐私政策将于 9 月 29 日生效。新政策规定,𝕏可能会使用所收集到的平台信息和公开可用的信息,来帮助训练 𝕏 的机器学习或人工智能模型。

发布于:6月以前  |  428次阅读  |  详细内容 »

荣耀CEO谈华为手机回归:替老同事们高兴,对行业也是好事

9月2日,荣耀CEO赵明在采访中谈及华为手机回归时表示,替老同事们高兴,觉得手机行业,由于华为的回归,让竞争充满了更多的可能性和更多的魅力,对行业来说也是件好事。

发布于:6月以前  |  423次阅读  |  详细内容 »

AI操控无人机能力超越人类冠军

《自然》30日发表的一篇论文报道了一个名为Swift的人工智能(AI)系统,该系统驾驶无人机的能力可在真实世界中一对一冠军赛里战胜人类对手。

发布于:7月以前  |  423次阅读  |  详细内容 »

AI生成的蘑菇科普书存在可致命错误

近日,非营利组织纽约真菌学会(NYMS)发出警告,表示亚马逊为代表的电商平台上,充斥着各种AI生成的蘑菇觅食科普书籍,其中存在诸多错误。

发布于:7月以前  |  420次阅读  |  详细内容 »

社交媒体平台𝕏计划收集用户生物识别数据与工作教育经历

社交媒体平台𝕏(原推特)新隐私政策提到:“在您同意的情况下,我们可能出于安全、安保和身份识别目的收集和使用您的生物识别信息。”

发布于:7月以前  |  411次阅读  |  详细内容 »

国产扫地机器人热销欧洲,国产割草机器人抢占欧洲草坪

2023年德国柏林消费电子展上,各大企业都带来了最新的理念和产品,而高端化、本土化的中国产品正在不断吸引欧洲等国际市场的目光。

发布于:6月以前  |  406次阅读  |  详细内容 »

罗永浩吐槽iPhone15和14不会有区别,除了序列号变了

罗永浩日前在直播中吐槽苹果即将推出的 iPhone 新品,具体内容为:“以我对我‘子公司’的了解,我认为 iPhone 15 跟 iPhone 14 不会有什么区别的,除了序(列)号变了,这个‘不要脸’的东西,这个‘臭厨子’。

发布于:6月以前  |  398次阅读  |  详细内容 »