2024上半年全球云上数据泄露风险分析报告

关于绿盟科技 绿盟科技集团股份有限公司（以下简称绿盟科技），成立于2000年4月，总部位于北京。公司于2014年1月29日起在深圳证券交易所创业板上市，证券代码：300369。绿盟科技在国内设有40多个分支机构，为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡设立海外子公司，深入开展全球业务，打造全球网络安全行业的中国品牌。 关于星云实验室 绿盟科技星云实验室专注于云计算安全、云原生安全、解决方案研究与虚拟化网络安全问题研究。基于IaaS环境的安全防护，利用SDN/NFV等新技术和新理念，提出了软件定义安全的云安全防护体系。承担并完成多个国家、省、市以及行业重点单位创新研究课题，已成功孵化落地绿盟科技云安全解决方案、绿盟科技云原生安全解决方案。 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。 CONTENTS 执行摘要1 专业名词解释2 01 云上数据泄露事件分类说明3 02 2024上半年全球云上数据泄露典型事件解读5 2.1西班牙房屋租赁公司EscapadaRural泄露300万 客户信息6 2.2在线词典Glosbe泄露近700万用户数据9 2.3谷歌云服务GoogleFirebase泄露1.25亿条用户记录11 2.4中国某公证处1.9万公民信息、 公正材料存在泄露风险12 2.5爱尔兰出租车软件公司iCabbi泄露近30万乘客信息14 2.6巴西游戏开发公司 AsanteeGames泄露数百万玩家信息15 2.7全球票务公司Ticketmaster泄露约5.6亿用户信息17 2.8中国某信息技术公司自建镜像仓库存在泄露风险20 2.9美国电信巨头AT&T泄露约1.1亿用户电话记录22 2.10丰田公司泄露240GB员工和客户信息24 03 安全建议26 3.1针对杂项错误的安全建议27 3.2针对系统入侵的安全建议28 3.3针对基础Web应用攻击的安全建议28 3.4其他建议29 04 总结30 05 参考文献33 重要观察 执行摘要 近年来，随着云计算技术的迅猛发展，企业在公有云和混合云环境中的业务部署显著增加，随之而来的云租户及云环境安全风险也大幅提升，尤其是云上数据泄露风险持续攀升，许多企业因配置错误等问题发生了严重的数据泄露事件，引发了广泛关注。 绿盟科技创新研究院在云上风险发现和数据泄露领域已有多年深入研究，目前已发布了多篇报告，包括《2021绿盟科技网络空间测绘年报》[1]、《2022绿盟科技网络空间测绘年报·云上风险测绘篇》[2]和《2023公有云安全风险分析报告》[3]。2023年，全球发生了多起云上数据泄露事件，例如，2023年2月，由于配置错误，DigitalOcean的对象存储公开可访问，导致印度跨国银行的数百万条数据泄露[4]，2023年5月，ToyotaConnected因云配置错误发生大规模数据泄露，泄露持续了多年[5]。 今年我们持续关注全球云上数据泄露风险态势，本报告首先对2024上半年发生的云上数据泄露事件分类和映射的ATT&CK攻击技术进行了具体说明，以便读者易于理解后续内容。 其次，我们对2024上半年全球发生的较大规模云上数据泄露风险和事件进行了详细分析，据绿盟科技创新研究院的统计，2024年上半年全球发生了16起云上数据泄露事件，泄露总量约为12亿公民隐私数据。在16起事件中，发生云上数据泄露事件最多的国家是美国，共发生8起，涉及泄露数据高达10亿。行业方面，零售业泄露数据量最多，约9.4亿条。事件原因方面，11起事件是由杂项错误引起，造成约2567万数据泄露；1起事件是由Web应用攻击引起，造成约1.25亿数据泄露；4起事件是由系统入侵引起，造成约10.5亿数据泄露。本报告主要聚焦于事件成因分析。由于大多数事件成因相似，限于篇幅，我们选取了十起典型行业案例进行详细说明，以展示云上数据泄露的整体态势。 最后，根据事件背后的成因分析，我们针对性地提出了相应的安全建议。本报告旨在提升公众对云上数据泄露的关注，并深入了解其背后成因，以便及时采取有效措施降低云上数据泄露风险，保护资产安全。 1 专业名词解释 云上数据：泛指公有云、自建云、混合云、多云服务上运行的业务数据。 ATT&CK：MITRE在2013年推出了ATT&CK™模型，全称为AdversarialTactics,Techniques,andCommonKnowledge(ATT&CK)，它是一个站在攻击者的视角来描述攻击中各阶段用到的技术的模型[6]。将已知攻击者行为转换为结构化列表，将这些已知的行为汇总成战术和技术，并通过几个矩阵以及结构化威胁信息表达式(STIX)、指标信息的可信自动化交换(TAXII)来表示。 事件分类：在云上数据泄露事件的视角下，事件分类可以帮助企业识别、分析和应对不同类型的数据泄露风险，典型的事件分类如基础Web应用攻击、拒绝服务攻击、丢失或被窃取的资产等。 0云泄分类上1说数明件据 在对2024年上半年的云上数据泄露事件进行深入分析之前，我们首先归纳云上数据泄露事件的主要攻击路径和手法，并梳理云上数据泄露事件分类，有助于读者在后续的具体事件分析章节中更好地理解事件成因与事件分类之间的对应关系。 关于事件分类，我们参考了VERIZON数据泄露报告[7]中的事件分类模式（IncidentClassificationPatterns）,其中包括以下八种模式： ●BasicWebApplicationAttacks：基础Web应用攻击，攻击主要针对Web应用程序，攻击范围为边界攻击，未侵入系统内部进行额外操作。 ●DenialofService：拒绝服务攻击，此类攻击旨在破坏网络和系统的可用性，包括网络层和应用层攻击。 ●LostandStolenAssets：遗失和被盗窃的资产，包括由于误放置或恶意行为而丢失的资产。 ●MiscellaneousErrors：杂项类错误，涵盖因无意行为直接危及信息资产安全性的事件。但不包括丢失设备，这类行为应归类为盗窃。 ●PrivilegeMisuse：特权滥用，此类攻击主要指未经授权或恶意使用合法权限所导致的行为。 ●SocialEngineering：社会工程学，此类攻击涉及对人的心里操控，诱使受害者采取某种行为违反保密性。 ●SystemIntrusion：系统入侵，指相对复杂的攻击，如利用恶意软件和黑客技术实现目标。 ●EverythingElse：其他项，泛指不符合以上7种分类模式范围的事件类型。 关于云上攻击路径及其涉及的具体技术，我们引用了MITREATT&CK矩阵1，在接下来的章节中，我们将从多个维度对具体事件进行深入解读,包括：事件时间、泄露规模、事件回顾、事件分析、VERIZON事件分类以及所使用的MITREATT&CK技术，这些维度将帮助我们更全面地理解云上攻击的特征与趋势。 1https://attack.mitre.org/ 典型事件解读 全球2云00上24数上据2半泄露年 2.1西班牙房屋租赁公司EscapadaRural泄露300万客户信息 事件时间：2024年1月8日 泄露规模：约290万客户的个人信息，包含姓名、电子邮件地址、电话号码等 事件回顾： 2024年1月8日，Cybernews研究团队发现一个允许任意用户访问的AmazonS3对象存储服务，并定位到该服务归属于西班牙一家提供房屋租赁服务的公司――EscapadaRural。该对象存储服务中的一个CSV文件中有约290万客户信息，包含姓名、电子邮件地址、性别、出生日期和电话号码等。另外，该S3对象存储中还包含一个数据库备份文件，但其中信息并不太敏感，多是一些来自booking和其他平台的房产列表信息。 Cybernews研究团队进一步研究发现，他们并不是第一个发现该暴露服务的。2023年7月，不法分子louhunter已将该数据集发布在BreachForums论坛1进行售卖。而EscapadaRural在这六个月期间并未发现数据泄露问题。 1https://breachforums.st/ 事件分析： 图1S3对象存储中的敏感信息 AmazonS3是亚马逊云提供的一项对象存储服务，它提供了可配置的安全性、数据保护、合规性和访问控制功能保护用户的数据安全[8]。但是对于对象存储服务的访问，Amazon并未强制要求配置访问控制策略，用户仍可以配置对象存储服务的公开访问。 导致此次数据泄露事件的主要原因是服务配置错误。EscapadaRural公司未对其使用的AmazonS3对象存储服务配置安全的访问控制策略，可能导致任何人均可公开访问该对象存储服务，包含恶意攻击者。 VERIZON事件分类：MiscellaneousErrors（杂项错误） 所用MITREATT&CK技术： 技术 T1593搜外索部开远放程网服站务/域 子技术 .002搜索引擎 攻击者可能利用网络空间利搜用索方引式擎进行情报收集。攻击者识别暴露服务中的对象存储服务。 T1133 开发功能 N/A 利用工具 AmazonS3 攻击者开发对暴露服务进行安全测试的工具。 T1587 云存储中的数据 .004 攻击者访问对象存储服务的数据。 T1530 通过服务外泄 N/A AmazonS3 攻击者可能利用服务进行数据窃取。 T1567Web N/A Web 参考链接：https://cybernews.com/security/data-leak-escapada-rural/ 2.2在线词典Glosbe泄露近700万用户数据 事件时间：2024年3月7日 泄露规模：700万用户个人数据、加密密码、社交媒体账号及其他信息事件回顾： 2023年12月，Cybernews研究团队发现一个互联网中能够公开访问的MongoDB数据库服务，该服务中包含近700万用户的个人数据、加密密码、社交媒体标识符和其他详细信息。通过分析，Cybernews研究团队定位到该服务归属于Glosbe在线词典，它号称支持世界上所有语言。 Cybernews研究团队于当月联系了Glosbe官方人员通报此次事件。虽然Glosbe并未对此进行正面回复，但涉事MongoDB服务已被关闭。2024年3月，Cybernews研究团队在官方Blog中发布了该事件说明。 事件分析： 图2Mongo数据实例截图 MongoDB是一种面向文档的数据库系统，广泛用于处理非结构化数据[9]。MongoDB社 区版的默认配置不会启用访问控制和身份验证机制，这意味着数据库在安装后，如果没有进一步进行安全配置，数据库里的数据将公开给所有可以访问的人。 导致此次数据泄露事件的主要原因是服务配置错误，包含以下两点： 1.未设置访问控制列表（ACL），使得任何人可以通过公开的IP地址访问。 2.未启用认证机制，使得任何可以访问数据库的人可以操作数据库中的数据。 这些配置错误让攻击者能够轻松使用扫描工具发现并访问未保护的数据库实例，从而窃取其中的敏感信息。 VERIZON事件分类：MiscellaneousErrors（杂项错误） 所用MITREATT&CK技术： 技术 T1593搜外索部开远放程网服站务/域 子技术 .002搜索引擎 攻击者可能利用网络空间利搜用索方引式擎进行情报收集。攻击者识别暴露服务中的服务。 T1133 开发功能 N/A 利用工具 MongoDB 攻击者开发对服务进行安全测试的工具。 T1587 云存储中的数据 .004 MongoDB 攻击者访问服务的数据。 T1530 通过服务外泄 N/A MongoDB