2024上半年全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析報(bào)告

綠盟科技集團(tuán)股份有限公司（以下簡(jiǎn)稱綠盟科技），成立于2000專業(yè)名詞解釋云上數(shù)據(jù)泄露事件分類說明客戶信息公正材料存在泄露風(fēng)險(xiǎn)1近年來，隨著云計(jì)算技術(shù)的迅猛發(fā)展，企業(yè)在公有云和混合云環(huán)境中的業(yè)務(wù)部署顯著增加，隨之而來的云租戶及云環(huán)境安全風(fēng)險(xiǎn)也大幅提升，尤其是云上數(shù)據(jù)泄露風(fēng)險(xiǎn)持續(xù)攀升，綠盟科技創(chuàng)新研究院在云上風(fēng)險(xiǎn)發(fā)現(xiàn)和數(shù)據(jù)泄露領(lǐng)域已有多年深入研究，目前已發(fā)布了上風(fēng)險(xiǎn)測(cè)繪篇》[2]和《2023公有云安全風(fēng)險(xiǎn)分析報(bào)告》[3]。2023年，全球發(fā)生了多起云上數(shù)據(jù)泄露事件，例如，2023年2月，由于配置錯(cuò)誤，DigitalOcean的對(duì)象存儲(chǔ)公開可訪問，導(dǎo)致印度跨國(guó)銀行的數(shù)百萬(wàn)條數(shù)據(jù)泄露[4]，2023年5月，ToyotaConnected因云配置錯(cuò)誤今年我們持續(xù)關(guān)注全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)態(tài)勢(shì)，本報(bào)告首先對(duì)2024上半年發(fā)生的云上據(jù)綠盟科技創(chuàng)新研究院的統(tǒng)計(jì)，2024年上半年全球發(fā)生了16起云上數(shù)據(jù)泄露事件，泄露總量約為12億公民隱私數(shù)據(jù)。在16起事件中，發(fā)生云上數(shù)據(jù)泄露事件最多的國(guó)家是美國(guó)，共原因方面，11起事件是由雜項(xiàng)錯(cuò)誤引起，造成約2567萬(wàn)數(shù)據(jù)泄露；1起事件是由Web應(yīng)用攻擊引起，造成約1.25億數(shù)據(jù)泄露；4起事件是由系統(tǒng)入侵引起，造成約10.5億數(shù)據(jù)泄露。本報(bào)告主要聚焦于事件成因分析。由于大多數(shù)事件成因相似，限于篇幅，我們選取了十起典最后，根據(jù)事件背后的成因分析，我們針對(duì)性地提出了相應(yīng)的安全建議。本報(bào)告旨在提升公眾對(duì)云上數(shù)據(jù)泄露的關(guān)注，并深入了解其背后成因，以便及時(shí)采取有效措施降低云上數(shù)2ATT&CK：MITRE在2013年推出了ATT&CTechniques,andCommonKnowledge(ATT&CK)，它是一個(gè)站在攻擊者的視角來描述攻擊中各階段用到的技術(shù)的模型[6]。將已知攻擊者行為轉(zhuǎn)換為結(jié)構(gòu)化列表，將這些已知的行為匯總成戰(zhàn)術(shù)和技術(shù)，并通過幾個(gè)矩陣以及結(jié)構(gòu)化威脅信息表達(dá)式(STIX)、指標(biāo)信息的可信自動(dòng)事件分類：在云上數(shù)據(jù)泄露事件的視角下，事件分類可以幫助企業(yè)識(shí)別、分析和應(yīng)對(duì)不4在對(duì)2024年上半年的云上數(shù)據(jù)泄露事件進(jìn)行深入分析之前，我們首先歸納云上數(shù)據(jù)泄露事件的主要攻擊路徑和手法，并梳理云上數(shù)據(jù)泄露事件分類，有助于讀者在后續(xù)的具體事關(guān)于事件分類，我們參考了VERIZON數(shù)據(jù)泄露報(bào)告[7]中的事件分類模式（IncidentClassificationPatterns）,其中包括以下八種模式：●BasicWebApplicationAttacks：基礎(chǔ)Web應(yīng)用攻擊，攻擊主要針對(duì)Web應(yīng)用程序，●DenialofService：拒絕服務(wù)攻擊，此類攻擊旨在破壞網(wǎng)絡(luò)和系統(tǒng)的可用性，包括網(wǎng)●LostandStolenAssets：遺失和被盜竊的資產(chǎn)，包括由于誤放置或惡意行為而丟失●MiscellaneousErrors：雜項(xiàng)類錯(cuò)誤，涵蓋因無(wú)意行為直●PrivilegeMisuse：特權(quán)濫用，此類攻擊主要指未經(jīng)授權(quán)或惡意使用合法權(quán)限所導(dǎo)致●SocialEngineering：社會(huì)工程學(xué)，此類攻擊涉及對(duì)人的心里操控，誘使受害者采取●SystemIntrusion：系統(tǒng)入侵，指相對(duì)復(fù)雜的攻擊，如利用惡意軟件和黑客技術(shù)實(shí)現(xiàn)●EverythingElse：其他項(xiàng)，泛指不符合以上7種分類模式范圍的事件類型。關(guān)于云上攻擊路徑及其涉及的具體技術(shù)，我們引用了MITREATT&CK矩陣1，在接下來的章節(jié)中，我們將從多個(gè)維度對(duì)具體事件進(jìn)行深入解讀,包括：事件時(shí)間、泄露規(guī)模、事件回顧、事件分析、VERIZON事件分類以及所使用的MITREATT&CK技術(shù)，這些維度將幫助1/62.1西班牙房屋租賃公司EscapadaRural泄露300萬(wàn)客戶信息事件時(shí)間：2024年1月8日泄露規(guī)模：約290萬(wàn)客戶的個(gè)人信息，包含姓名、電子郵件地址、電話號(hào)碼等2024年1月8日，Cybernews研究團(tuán)隊(duì)發(fā)現(xiàn)一個(gè)允許任意用戶訪問的AmazonS3對(duì)象存儲(chǔ)服務(wù)，并定位到該服務(wù)歸屬于西班牙一家提供房屋租賃服務(wù)的公司――Escapada性別、出生日期和電話號(hào)碼等。另外，該S3對(duì)象存儲(chǔ)中還包含一個(gè)數(shù)據(jù)庫(kù)備份文件，但其中信息并不太敏感，多是一些來自booking和其他平臺(tái)的房產(chǎn)列表信息。Cybernews研究團(tuán)隊(duì)進(jìn)一步研究發(fā)現(xiàn)，他們并不是第一個(gè)發(fā)現(xiàn)該暴露服務(wù)的。2023年7月，不法分子louhunter已將該數(shù)據(jù)集發(fā)布在BreachForums論壇1進(jìn)行售賣。而Escapada1https://breachforums.st/72024上半年全球云上數(shù)據(jù)泄露典型事件解讀圖1S3對(duì)象存儲(chǔ)中的敏感信息AmazonS3是亞馬遜云提供的一項(xiàng)對(duì)象存儲(chǔ)服務(wù)，它提合規(guī)性和訪問控制功能保護(hù)用戶的數(shù)據(jù)安全[8]。但是對(duì)于對(duì)象存儲(chǔ)服務(wù)的訪問，Amazon并導(dǎo)致此次數(shù)據(jù)泄露事件的主要原因是服務(wù)配置錯(cuò)誤。EscapadaRural公司未對(duì)其使用的AmazonS3對(duì)象存儲(chǔ)服務(wù)配置安全的訪問控制策略，可能導(dǎo)致任何人均可公開訪問該對(duì)象存VERIZON事件分類：MiscellaneousErrors（雜項(xiàng)錯(cuò)誤）8T1593搜索開放網(wǎng)站/域.002搜索引擎T1133外部遠(yuǎn)程服務(wù)攻擊者識(shí)別暴露服務(wù)中的AmazonS3對(duì)象存儲(chǔ)服務(wù)。T1587開發(fā)功能.004利用工具T1530云存儲(chǔ)中的數(shù)據(jù)攻擊者訪問AmazonS3對(duì)象存儲(chǔ)服務(wù)的數(shù)據(jù)。T1567通過Web服務(wù)外泄參考鏈接：/security/data-leak-escapada-rural/92024上半年全球云上數(shù)據(jù)泄露典型事件解讀2.2在線詞典Glosbe泄露近700萬(wàn)用戶數(shù)據(jù)事件時(shí)間：2024年3月7日泄露規(guī)模：700萬(wàn)用戶個(gè)人數(shù)據(jù)、加密密碼、社交媒體賬號(hào)及其他信息2023年12月，Cybernews研究團(tuán)隊(duì)發(fā)現(xiàn)一個(gè)互聯(lián)網(wǎng)中能夠公開訪問的MongoDB數(shù)據(jù)通過分析，Cybernews研究團(tuán)隊(duì)定位到該服務(wù)歸屬于Glosbe在線詞典，它號(hào)稱支持世界上Cybernews研究團(tuán)隊(duì)于當(dāng)月聯(lián)系了Glosbe官方人員通報(bào)此次事件。雖然Glosbe并未對(duì)此進(jìn)行正面回復(fù)，但涉事MongoDB服務(wù)已被關(guān)閉。2024年3月，Cybernews研究團(tuán)隊(duì)在官圖2Mongo數(shù)據(jù)實(shí)例截圖MongoDB是一種面向文檔的數(shù)據(jù)庫(kù)系統(tǒng)，廣泛用于處理非結(jié)構(gòu)化數(shù)據(jù)[9]。MongoDB社區(qū)版的默認(rèn)配置不會(huì)啟用訪問控制和身份驗(yàn)證機(jī)制，這意味著數(shù)據(jù)庫(kù)在安裝后，如果沒有進(jìn)），這些配置錯(cuò)誤讓攻擊者能夠輕松使用掃描工具發(fā)現(xiàn)并訪問未保護(hù)的數(shù)據(jù)庫(kù)實(shí)例，從而竊VERIZON事件分類：MiscellaneousErrors（雜項(xiàng)錯(cuò)誤）T1593搜索開放網(wǎng)站/域.002搜索引擎T1133外部遠(yuǎn)程服務(wù)攻擊者識(shí)別暴露服務(wù)中的MongoDB服務(wù)。T1587開發(fā)功能.004利用工具攻擊者開發(fā)對(duì)MongoDB服務(wù)進(jìn)行安全測(cè)T1530云存儲(chǔ)中的數(shù)據(jù)T1567通過Web服務(wù)外泄參考鏈接：/security/glosbe-dictionary-leaks-user-data/2024上半年全球云上數(shù)據(jù)泄露典型事件解讀2.3谷歌云服務(wù)GoogleFirebase泄露1.25億條用戶記錄事件時(shí)間：2024年3月18日泄露規(guī)模：數(shù)百個(gè)網(wǎng)站暴露了總計(jì)約1.25億條用戶記錄2024年3月18日，三位獨(dú)立安全研究員發(fā)表了一篇帖子，稱他們掃描了5.5萬(wàn)個(gè)網(wǎng)站中的JavaScript代碼，發(fā)現(xiàn)超900個(gè)GoogleFirebase憑證信息，可能導(dǎo)致近1.25億條用戶GoogleFirebase1是一項(xiàng)由Google提供的云服務(wù)，通過提供實(shí)時(shí)數(shù)據(jù)庫(kù)、認(rèn)證、云存儲(chǔ)、云函數(shù)、推送通知等一系列工具和服務(wù)，幫助開發(fā)者構(gòu)建高質(zhì)量的應(yīng)用程序[10]。雖然GoogleFirebase提供了完善、可擴(kuò)展安全規(guī)則，用于保護(hù)用戶在CloudFirestore、FirebaseRealtimeDatabase和CloudStorage中存儲(chǔ)的數(shù)據(jù)，但它并不會(huì)對(duì)用戶配置的不安全規(guī)則進(jìn)導(dǎo)致此次數(shù)據(jù)泄露事件的一個(gè)原因是由于開發(fā)者在網(wǎng)站開發(fā)過程中硬編碼了明文GoogleVERIZON事件分類：BasicWebApplicationAttacks（基礎(chǔ)Web應(yīng)用攻擊）T1593搜索開放網(wǎng)站/域.002搜索引擎T1587開發(fā)功能.004利用工具攻擊者開發(fā)用于收集GoogleFirebase憑證的工具。T1133外部遠(yuǎn)程服務(wù)T1588獲得能力.002工具T1078有效賬戶.004云賬戶T1530云存儲(chǔ)中的數(shù)據(jù)攻擊者訪問GoogleFirebase中的數(shù)據(jù)。T1567通過Web服務(wù)外泄參考鏈接：https://env.fail/posts/firewreck-1/1/?hl=zh-cn2.4中國(guó)某公證處1.9萬(wàn)公民信息、公正材料存在泄事件時(shí)間：2024年3月28日泄露規(guī)模：1.9萬(wàn)公民信息、公正材料2023年3月，綠盟科技創(chuàng)新研究院發(fā)現(xiàn)一個(gè)部署在阿里云上的Gogs源代碼倉(cāng)庫(kù)，且未存在任何訪問控制策略和身份認(rèn)證機(jī)制。該源代碼倉(cāng)庫(kù)的所有源代碼項(xiàng)目可被任意訪問和下載。部分源代碼中包含數(shù)據(jù)庫(kù)、對(duì)象存儲(chǔ)服務(wù)憑證，導(dǎo)致超1.9萬(wàn)敏感信息存在泄露風(fēng)險(xiǎn)，研究員通過技術(shù)手段定位到該鏡像倉(cāng)庫(kù)的歸屬組織機(jī)構(gòu)為國(guó)內(nèi)公證機(jī)構(gòu)后，第一時(shí)間將此情報(bào)通報(bào)給該公司屬地監(jiān)管單位，并協(xié)助監(jiān)管單位對(duì)涉事公司存在的數(shù)據(jù)泄露風(fēng)險(xiǎn)進(jìn)圖3Gogs泄露敏感數(shù)據(jù)截圖Gogs是一款極易搭建的自助Git服務(wù)。Gogs旨在打造一個(gè)以最簡(jiǎn)便的方式搭建簡(jiǎn)單、穩(wěn)定和可擴(kuò)展的自助Git服務(wù)[11]。Gogs支持多種授權(quán)認(rèn)證方式：LDAP-BindDN、LDAP-simpleauth、PAM、SMTP及Freeipa。但若未在Gogs啟動(dòng)時(shí)配置相關(guān)授權(quán)認(rèn)證文件，則Gogs是存在未授權(quán)訪問的。只要互聯(lián)網(wǎng)可達(dá)，任何人都可以對(duì)Gogs進(jìn)行訪問，查看其中的導(dǎo)致此次事件的原因主要有三點(diǎn)，第一，所使用搭建代碼倉(cāng)庫(kù)的云服務(wù)器未設(shè)置網(wǎng)絡(luò)相關(guān)的訪問控制策略；第二，未開啟Gogs代碼倉(cāng)庫(kù)的授權(quán)認(rèn)證機(jī)制；第三，源代碼項(xiàng)目配置文件中硬編碼了明文重要憑證。最終，導(dǎo)致該公證處多個(gè)后端系統(tǒng)源代碼、公民信息、公正2024上半年全球云上數(shù)據(jù)泄露典型事件解讀VERIZON事件分類：MiscellaneousErrors（雜項(xiàng)錯(cuò)誤）T1593搜索開放網(wǎng)站/域.002搜索引擎T1133外部遠(yuǎn)程服務(wù)T1587開發(fā)功能.004利用工具T1552不安全憑證.001文件中的憑證T1078有效賬戶.004云賬戶T1530云存儲(chǔ)中的數(shù)據(jù)T1567通過Web服務(wù)外泄2.5愛爾蘭出租車軟件公司iCabbi泄露近30萬(wàn)乘客信息事件時(shí)間：2024年4月11日2024年4月，VPNMentor1的安全研究員JeremiahFowler發(fā)現(xiàn)一個(gè)未設(shè)置密碼的數(shù)據(jù)庫(kù)，其中包括乘客的姓名、電子郵件和電話號(hào)碼等個(gè)人詳細(xì)信息。經(jīng)Fowler分隨后，F(xiàn)owler就風(fēng)險(xiǎn)情況通知了iCabbi，該公司承認(rèn)此次事件，并表示已采取措施并通Fowler提醒用戶警惕來自出租車服務(wù)提供商的網(wǎng)絡(luò)釣魚攻擊和可疑郵件，尤其是當(dāng)攻擊由于事件披露的信息中并未提及關(guān)于數(shù)據(jù)庫(kù)的更多信息，我們無(wú)法做更多的分析。但其原因和事件2在線詞典Glosbe泄露近700萬(wàn)用戶數(shù)據(jù)事件相似，均是由于未限制數(shù)據(jù)庫(kù)訪VERIZON事件分類：MiscellaneousErrors（雜項(xiàng)錯(cuò)誤）T1593搜索開放網(wǎng)站/域.002搜索引擎T1133外部遠(yuǎn)程服務(wù)T1587開發(fā)功能.004利用工具T1530云存儲(chǔ)中的數(shù)據(jù)T1567通過Web服務(wù)外泄參考鏈接：https://www.independent.ie/business/technology/personal-information-of-287000-taxi-passengers-exposed-in-data-breach/a355367209.html1/2/about-us/2024上半年全球云上數(shù)據(jù)泄露典型事件解讀2.6巴西游戲開發(fā)公司AsanteeGames泄露數(shù)百萬(wàn)玩家信息事件時(shí)間：2024年4月21日泄露規(guī)模：超過1400萬(wàn)名玩家的個(gè)人數(shù)據(jù)，包括用戶名、電子郵件、設(shè)備數(shù)據(jù)、游戲AsanteeGames1是一家成立于2012年的小型游戲開發(fā)工作室。該公司的《MagicRampage》游戲在Android和iOS平臺(tái)上的下載量超過1000萬(wàn)次。Cybernews研究團(tuán)隊(duì)發(fā)現(xiàn)，該公司發(fā)生了一次嚴(yán)重的數(shù)據(jù)泄露事件，該事件影響了超過1400萬(wàn)名《MagicRampage》游戲玩家。泄露的數(shù)據(jù)包括玩家的用戶名、電子郵件、設(shè)備數(shù)據(jù)、游戲統(tǒng)計(jì)信息和管理員憑隨后，Cybernews研究團(tuán)隊(duì)將該事件通知了AsanteeGames，雖然該公司反饋已立即采MongoDB是一種面向文檔的數(shù)據(jù)庫(kù)系統(tǒng)，廣泛用于處理非結(jié)構(gòu)化數(shù)據(jù)。MongoDB社區(qū)版的默認(rèn)配置不會(huì)啟用訪問控制和身份驗(yàn)證機(jī)制，這意味著數(shù)據(jù)庫(kù)在安裝后，如果沒有進(jìn)一1.br/本次AsanteeGames的泄露事件中，同樣是由于配置錯(cuò)誤所導(dǎo)致，由于未配置合理的訪問控制策略，因而導(dǎo)致攻擊者能夠輕松使用掃描工具發(fā)現(xiàn)并訪問未保護(hù)的數(shù)據(jù)庫(kù)實(shí)例，從而VERIZON事件分類：MiscellaneousErrors（雜項(xiàng)錯(cuò)誤）T1593搜索開放網(wǎng)站/域.002搜索引擎T1133外部遠(yuǎn)程服務(wù)攻擊者識(shí)別暴露服務(wù)中的MongoDB服務(wù)。T1587開發(fā)功能.004利用工具攻擊者開發(fā)對(duì)MongoDB服務(wù)進(jìn)行安全測(cè)T1530云存儲(chǔ)中的數(shù)據(jù)T1567通過Web服務(wù)外泄參考鏈接：/security/magic-ramasantee-games-data-leak/2024上半年全球云上數(shù)據(jù)泄露典型事件解讀2.7全球票務(wù)公司Ticketmaster泄露約5.6億用戶信息事件時(shí)間：2024年5月28日2024年5月28日，Hackread1報(bào)道了一起涉及Ticketmaster2的嚴(yán)重?cái)?shù)據(jù)泄露事件，如圖5所示，Ticketmaster約5.6億用戶的身份信息被黑客組織ShinyHunters3在BreachForum圖5在暗網(wǎng)上售賣的Ticketmaster相關(guān)信息2023年5月31日，Ticketmaster的母公司LiveNationEntertainment在向美國(guó)證券交易委員會(huì)（SEC）提交的一份文件中確認(rèn)[12]，其1/2/wiki/Ticketmaster3/wiki/ShinyHunters大量未授權(quán)訪問。這一事件主要涉及TicketmasterLLC的公司數(shù)據(jù)。盡管該事件的潛在影響被認(rèn)為對(duì)公司業(yè)務(wù)不大，但LiveNationTicketmaster在其官方網(wǎng)站上發(fā)表了聲明，重申用戶的Ticketmaster賬戶是安全的，并強(qiáng)調(diào)此次數(shù)據(jù)泄露源自第三方數(shù)據(jù)服務(wù)供應(yīng)商。泄露的數(shù)據(jù)庫(kù)包含北美（包括美國(guó)、加拿大和墨西哥）活動(dòng)門票購(gòu)買者的客戶信息[13]。Ticketmaster表示，他們正在通過電子郵件或書面形式通知受影響的客戶，并與執(zhí)法部門及銀行合作進(jìn)行調(diào)查。此外，為了保護(hù)客戶數(shù)據(jù)安全，Ticketmaster承諾為相關(guān)客戶提供12個(gè)月的免費(fèi)身份監(jiān)控服務(wù)。Ticketmaster聲稱他們正在郵件或者書面通知受影響的客戶，并與執(zhí)法部門、銀行進(jìn)行合作調(diào)查。同時(shí)，Ticketmaster承諾將為相關(guān)客戶免費(fèi)提供12個(gè)月的身份監(jiān)控服務(wù)，以保雖然LiveNation和Ticketmaster在回應(yīng)中沒有明確指出具體的第三方公司，但據(jù)Hackread的跟蹤報(bào)道，涉及的公司可能是SnowflakeInc.[14]。Snowflake是一家提供SaaS化數(shù)據(jù)庫(kù)服務(wù)的公司，為超過1萬(wàn)家公司提供服務(wù)1。Snowflake隨后在官方網(wǎng)站上發(fā)表了聲根據(jù)Mandiant分享的Snowflake攻擊調(diào)查文章，數(shù)據(jù)泄露事件的根本原因被認(rèn)定為憑證泄露[16]。報(bào)告顯示，在這次數(shù)據(jù)泄露中，超過79.7%的Snowflake客戶憑證曾被各種信息竊取軟件盜取，涉及的惡意軟件包括VIDAR、RISEPRO、REDLINE、RACOONSTEALER、LUMMA和METASTEALER等。Mandiant的調(diào)查還發(fā)現(xiàn)，一名Snowflake前雇員的個(gè)人憑證被竊取，攻擊者利用該憑證訪問了Snowflake。然而，Snowflake聲明該賬戶用于測(cè)試，且不含敏感數(shù)據(jù)，與此次數(shù)據(jù)泄露事件無(wú)關(guān)聯(lián)。這些被植入惡意軟件的設(shè)備通常來自Snowflake的客戶或外包公司的服務(wù)如圖6所示，如果Snowflake未啟用多因素身份驗(yàn)證，攻擊者（UNC5537）可以通過被可以通過匿名VPS上的SnowSight（可視化界面）或SnowSQL（命令行工具）連接客戶的Snowflake實(shí)例。此外，他們甚至可以分析和收集數(shù)據(jù)中的其他認(rèn)證口令，以獲取更多敏感1/en/company/overview/about-snowflake/2024上半年全球云上數(shù)據(jù)泄露典型事件解讀圖6Snowflake攻擊路徑示意圖VERIZON事件分類：SystemIntrusion(系統(tǒng)入侵）T1589收集受害者身份信息攻擊者可能利用社交媒體或網(wǎng)絡(luò)引擎引擎收集受害者電子網(wǎng)郵件T1566網(wǎng)絡(luò)釣魚.002魚叉式網(wǎng)絡(luò)釣魚-鏈接T1204用戶執(zhí)行.001惡意連接.002惡意文件T1087賬號(hào)發(fā)現(xiàn).004云賬戶通過惡意程序獲取受害者本地信息，發(fā)現(xiàn)Snowflake憑證T1078有效賬戶.004云賬戶通過惡意程序竊取Snowflake憑證，使用Snowflake憑證登錄Snowflake服務(wù)。T1041通過C2通道進(jìn)行參考鏈接：/hackers-ticketmaster-data-breach-560m-users-sale/202.8中國(guó)某信息技術(shù)公司自建鏡像倉(cāng)庫(kù)存在泄露風(fēng)險(xiǎn)事件時(shí)間：2024年5月23日2023年5月23日，綠盟科技創(chuàng)新研究院發(fā)現(xiàn)一個(gè)部署在阿里云上的Harbor鏡像倉(cāng)庫(kù)存在未授權(quán)訪問的鏡像。能夠訪問的鏡像文件中包含數(shù)據(jù)庫(kù)、對(duì)象存儲(chǔ)服務(wù)憑證，導(dǎo)致超18研究員通過技術(shù)手段定位到該鏡像倉(cāng)庫(kù)的歸屬組織機(jī)構(gòu)為國(guó)內(nèi)某信息技術(shù)公司后，第一時(shí)間將此情報(bào)通報(bào)給該公司屬地監(jiān)管單位，并協(xié)助監(jiān)管單位對(duì)涉事公司存在的數(shù)據(jù)泄露風(fēng)險(xiǎn)Harbor是一個(gè)開源的企業(yè)級(jí)DockerRegistry管理項(xiàng)目，由VMware公司開源[17]。Harbor提供了集中式的鏡像管理、安全性控制、鏡像復(fù)制等功能，幫助用戶更好地管理和存儲(chǔ)Docker鏡像。雖然Harbor有完整的訪問控制機(jī)制，但若使用者將鏡像項(xiàng)目設(shè)置為公開，則任意用戶可以對(duì)其進(jìn)行訪問和拉取。這是H212024上半年全球云上數(shù)據(jù)泄露典型事件解讀最后，該鏡像文件系統(tǒng)中的配置文件中硬編碼了明文數(shù)據(jù)庫(kù)的配置信息，從而導(dǎo)致該信VERIZON事件分類：MiscellaneousErrors（雜項(xiàng)錯(cuò)誤）T1593搜索開放網(wǎng)站/域.002搜索引擎T1133外部遠(yuǎn)程服務(wù)T1587開發(fā)功能.004利用工具T1552不安全憑證.001文件中的憑證T1078有效賬戶.004云賬戶T1530云存儲(chǔ)中的數(shù)據(jù)T1567通過Web服務(wù)外泄222.9美國(guó)電信巨頭AT&T泄露約1.1億用戶電話記錄事件時(shí)間：2024年7月12日攻擊者幾乎竊取了2022年5月1日至2022年10AT&T表示，其已于4月19日發(fā)現(xiàn)了此次數(shù)據(jù)泄露事件，隨即聘請(qǐng)網(wǎng)絡(luò)安全專家展開調(diào)查并上報(bào)了監(jiān)管機(jī)構(gòu)。AT&T表示本次事件與3月份的數(shù)據(jù)泄露事件[18]無(wú)關(guān)，發(fā)言人Huguely向TechCrunch透露，此次泄露的數(shù)據(jù)是從Snowflake上竊取的。于第三方云平臺(tái)的非法下載，目前這些被盜的數(shù)據(jù)尚未公開，他們正在與執(zhí)法部門合作以逮由于對(duì)國(guó)家安全或公共安全存在潛在風(fēng)險(xiǎn)，此次數(shù)據(jù)泄露事件AT&T沒有披露更多細(xì)節(jié)。但這是繼事件七全球票務(wù)公司Ticketmaster泄露約5.6億用戶信息和美國(guó)汽車售后零部件供應(yīng)商AdvanceAutoParts在Snowflake內(nèi)存儲(chǔ)的數(shù)據(jù)被盜事件[20]、QuoteWizard在Snowflake中存儲(chǔ)的數(shù)據(jù)被竊取事件[21]之后又一起由于Snowflake憑證泄露導(dǎo)致的數(shù)據(jù)泄露事件，特別是AdvanceAutoParts事件泄露了3.8億份客戶資料，影響范圍之廣泛，令人擔(dān)憂。由此看來，Snowflake數(shù)據(jù)被盜似乎已屢見不鮮。攻擊者利用先前購(gòu)買或竊取的憑證，直接登錄了未開啟多因素認(rèn)證的Snowflake賬號(hào)，并竊取了其中的用戶數(shù)據(jù)。值得欣慰的是，Snowflake在最近的申明中表示，其正在制定一VERIZON事件分類：SystemIntrusion(系統(tǒng)入侵）1/wiki/TechCrunch2/232024上半年全球云上數(shù)據(jù)泄露典型事件解讀T1589收集受害者身份信息T1566網(wǎng)絡(luò)釣魚.001魚叉式網(wǎng)絡(luò)釣.002魚叉式網(wǎng)絡(luò)釣T1204用戶執(zhí)行.001惡意連接.002惡意文件T1087賬號(hào)發(fā)現(xiàn).004云賬戶通過惡意程序獲取受害者本地信息，發(fā)現(xiàn)Snowflake憑證T1078有效賬戶.004云賬戶通過惡意程序竊取Snowflake憑證，使用Snowflake憑證登錄Snowflake服務(wù)。T1041通過C2通道進(jìn)行數(shù)參考鏈接：/2024/07/12/att-phone-records-stolen-data-breach/?guccounter=1242.10豐田公司泄露240GB員工和客戶信息事件時(shí)間：2024年8月16日泄露規(guī)模：240GB的文件，包含豐田員工和客戶的信息以及合同和財(cái)務(wù)信息2024年8月16日，黑客組織ZeroSevenGroup表示侵入了一家美國(guó)機(jī)構(gòu)，竊取到了240GB文件，其中包含豐田員工和客戶的信息及合同和財(cái)務(wù)信息。另外，他們還聲稱會(huì)提供帶有密碼的所有目標(biāo)網(wǎng)絡(luò)的ADRecon1。雖然豐田沒有透露泄露的日期，但BleepingComputer發(fā)現(xiàn)這些文件可能已于2022年12月25日被盜。表示他們正在與可能受影響的員工和客戶對(duì)接，并在需要時(shí)提供幫助。最后，他們聲稱這些圖8黑客組織ZeroSevenGroup發(fā)布的事件截圖1ADRecon是一種從AD域環(huán)境中進(jìn)行信息收集的工具，包括Domain、Trusts、Subnets等。ADRecon可以從能夠連252024上半年全球云上數(shù)據(jù)泄露典型事件解讀AD域（ActiveDirectoryDomain）是微軟Windows網(wǎng)絡(luò)環(huán)境中的一個(gè)核心概念，它是微軟提供的一種目錄服務(wù)，存儲(chǔ)了網(wǎng)絡(luò)中各類資源信息，如用戶賬戶、組、計(jì)算機(jī)、共享資黑客組織ZeroSevenGroup可能通過某種攻擊方式拿到目標(biāo)主機(jī)權(quán)限，并使用ADRecon工具在主機(jī)中進(jìn)行信息收集。最終，ZeroSevenGroup發(fā)現(xiàn)并竊取了240GB的文件，涉及豐田北美公司。泄露文件內(nèi)容包含：聯(lián)系人、財(cái)務(wù)、客戶、計(jì)劃、員工、照片、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)VERIZON事件分類：SystemIntrusion（系統(tǒng)入侵）T1588獲得能力.002工具T1059命令行和腳本解釋器.001PowerShellT1552不安全憑證.001文件中的憑證T1530云存儲(chǔ)中的數(shù)據(jù)T1567通過Web服務(wù)外泄參考鏈接：/news/security/toyota-confirms-third-party-data-breach-impacting-customers/27前文我們對(duì)全球上半年云上數(shù)據(jù)泄露事件進(jìn)行了詳細(xì)解讀，如圖9所示，從事件分類模式上看，雜項(xiàng)錯(cuò)誤是導(dǎo)致數(shù)據(jù)泄露的主要原因，占比高達(dá)60%。其次為系統(tǒng)入侵和基礎(chǔ)Web應(yīng)用攻擊，分別占30%和10%。圖92024上半年云上數(shù)據(jù)泄露事件類型分布其中，雜項(xiàng)錯(cuò)誤主要是錯(cuò)誤配置導(dǎo)致的未授權(quán)訪問，系統(tǒng)入侵則是通過社工、掃描攻擊主要是通過爬蟲等技術(shù)獲取憑證或未授權(quán)的服務(wù)訪問路徑。下面我們將針對(duì)上述事件分類模3.1針對(duì)雜項(xiàng)錯(cuò)誤的安全建議2024年上半年云上數(shù)據(jù)泄露事件中，其中絕大多數(shù)事件是由于服務(wù)訪問控制策略配置不當(dāng)導(dǎo)致的。這些云服務(wù)包含公有云提供的服務(wù)也包括自建類服務(wù)，如MongoDB、GoogleCloudStorage和AmazonS3對(duì)象存儲(chǔ)等均是因?yàn)榕渲昧斯_訪問才進(jìn)一步導(dǎo)致數(shù)據(jù)泄露。1.通過配置防火墻、訪問控制列表（ACL）、角色訪問控制（RBAC）或者服務(wù)監(jiān)聽策28略等方式縮小服務(wù)暴露范圍。例如通過配置bindIp參數(shù)，限制MongoDB只監(jiān)聽特定的私有網(wǎng)絡(luò)地址。如圖10所示，在mongod.conf中設(shè)置：圖10MongoDB監(jiān)聽配置2.禁止服務(wù)匿名訪問策略，如修改m"enabled”，禁止MongoDB匿名訪問；3.監(jiān)控和記錄所有訪問請(qǐng)求，并配置異?；顒?dòng)告警。如公有云服務(wù)可直接開啟云審計(jì)和告警服務(wù)。例如，使用awscloudtrailcreate-trail配置跟蹤訪問日志，并設(shè)置告警以監(jiān)測(cè)異常3.2針對(duì)系統(tǒng)入侵的安全建議1.設(shè)置網(wǎng)絡(luò)隔離策略，如根據(jù)資產(chǎn)或業(yè)務(wù)設(shè)置多個(gè)微分段網(wǎng)絡(luò)2.啟用多因素身份驗(yàn)證（MFA增強(qiáng)高敏感系統(tǒng)和數(shù)據(jù)的訪3.定期輪換服務(wù)賬戶的訪問密鑰和API密鑰，并及時(shí)撤銷不再使用的密鑰?？衫迷茝S商的密鑰管理服務(wù)（KeyManagementServiceKMS4.實(shí)施集中憑證管理，防止憑證泄露。如使用AWSSecretsManager或AzureKeyVault；5.定期為員工提供云安全培訓(xùn)，內(nèi)容涵蓋配置管理、數(shù)據(jù)保護(hù)、憑證管理、安全監(jiān)控和7.對(duì)所有敏感數(shù)據(jù)進(jìn)行加密處理，無(wú)論是靜態(tài)存儲(chǔ)還是傳輸過程中的數(shù)據(jù)，確保即使數(shù)291.建立Web應(yīng)用反爬機(jī)制，如針對(duì)頻2.建議強(qiáng)制啟用多因素身份驗(yàn)證（MFA即使攻擊者獲取了用戶名和密碼，也無(wú)法輕4.服務(wù)定期提醒用戶修改密碼，若未及時(shí)修改3.4其他建議除以上針對(duì)性建議外，用戶還可以參考通用1.使用外部攻擊面管理平臺(tái)（EASM）方案，掃描和監(jiān)控網(wǎng)絡(luò)資產(chǎn)，識(shí)別公網(wǎng)暴露資產(chǎn)、漏洞和配置錯(cuò)誤，結(jié)合真實(shí)攻擊路徑評(píng)估可能存在泄露風(fēng)險(xiǎn)的資產(chǎn)和數(shù)據(jù)。借助這些自動(dòng)化2.實(shí)施供應(yīng)商訪問控制管理，限制第三方對(duì)內(nèi)部系統(tǒng)和數(shù)據(jù)的訪問權(quán)限，如云廠商提供31包括主流云攻擊手法和配置錯(cuò)誤等人為因素。為了更清晰地描述云上數(shù)據(jù)泄露的攻擊路徑，我們引用了MITREATT&CK模型中的攻擊手法并進(jìn)行了說明，有助綠盟科技創(chuàng)新研究院在云上風(fēng)險(xiǎn)發(fā)現(xiàn)和數(shù)據(jù)泄露領(lǐng)域已經(jīng)開展了多年的研究。借助Fusion數(shù)據(jù)泄露偵察平臺(tái)，我們已監(jiān)測(cè)到數(shù)萬(wàn)個(gè)云端暴露資產(chǎn)存在未授權(quán)訪問的情況，包括Fusion是由綠盟科技創(chuàng)新研究院研發(fā)的一款面向數(shù)據(jù)泄露測(cè)繪的創(chuàng)新產(chǎn)品，集探測(cè)、識(shí)別、泄露數(shù)據(jù)偵察于一體，針對(duì)互聯(lián)網(wǎng)中暴露的泛云組件進(jìn)行測(cè)繪，識(shí)別組件關(guān)聯(lián)的組織機(jī)圖11Fusion能力全景圖Fusion的云上風(fēng)險(xiǎn)事件發(fā)現(xiàn)組件具有如下主要特色能力：資產(chǎn)掃描探測(cè)：通過多個(gè)分布式節(jié)點(diǎn)對(duì)目標(biāo)網(wǎng)段/資產(chǎn)進(jìn)行分布式掃描探測(cè)，同時(shí)獲取外部平臺(tái)相關(guān)資產(chǎn)進(jìn)行融合，利用本