Verizon不会成为最后一个暴露在云中的数据

导读 将数据放在任何人都能看到的可公开访问的位置上,并不完全是教科书中关于复杂数据泄露的定义。安全研究人员一次又一次地报告了组织及其合作...

将数据放在任何人都能看到的可公开访问的位置上,并不完全是教科书中关于复杂数据泄露的定义。安全研究人员一次又一次地报告了组织及其合作伙伴所谓的“泄露”数据的情况,这些数据以公开可访问的方式留在云中。

最近遭受此类破坏的受害者是电信巨头Verizon,后者无意中暴露了其合作伙伴NICE Systems公开发布在云服务器上的600万客户的信息。Verizon数据泄漏是由UpGuard的Cyber​​Risk团队的研究人员发现的,并于7月12日公开披露。

根据UpGuard的说法,它首先向Verizon透露,云数据已于6月13日公开,而Verizon最终于6月22日保护了数据。

UpGuard在其披露中写道:“该数据存储库是由NICE Systems工程师(位于以色列Ra'anana,以色列总部,由NICE Systems工程师管理的一个Amazon Web Services S3存储桶),它的创建似乎是出于未知目的记录客户呼叫数据。” “最大的无线运营商Verizon在其后台和呼叫中心运营中使用NICE Systems技术。

UpGuard安全研究人员Chris Vickery最初发现的数据功劳深厚,该数据是在Amazon Web Services(AWS)云S3存储实例上找到的。根据UpGuard的说法,S3数据存储库启用了公共访问,并且只需输入正确的S3网址即可完全访问该数据库。

据报道,Verizon告诉CNN,由于可以在S3上公开访问该数据库,因此没有发生任何客户信息丢失或被盗的情况。

Verizon并不是第一家将数据公开在云服务器上的公司。6月,Vickery报告称,其合作伙伴Deep Root Analytics公开暴露了共和党全国委员会的选民信息。本月早些时候,有消息称,摔跤公司WWE还在其公开的AWS S3实例上公开并曝光了数百万粉丝的信息。

简而言之,如果数据留在互联网上,无论是在标准托管服务器上还是在AWS的云中,还是可以找到。

十年前,安全研究人员使用了一种称为“ Google Hacking”的通用攻击方法,该方法仅输入特定的搜索查询即可产生结果,从而导致搜索引擎已为索引建立了不安全的数据。在云时代,新一代的安全研究人员已使用各种工具(包括流行的Shodan搜索引擎)来查找未得到安全保护或正确配置的信息。

适当地保护云中的数据与保护其他任何地方的数据并没有什么不同。它以某种方式仅限制那些需要访问权限的服务或授权人员进行访问。使用云存储数据与在其他任何地方存储数据没有什么不同,使用S3和其他此类服务的用户记住这一事实是明智的。云或现代互联网中没有模糊不清的事物;如果无法通过访问控制,加密或身份验证挑战来保护数据,则将以一种或另一种方式找到数据。

在没有任何访问控制或身份验证检查的情况下将数据库保持打开状态并不意味着数据泄露或泄漏;这只是简单而简单的疏忽。