雲存儲配置錯誤繼續困擾著數據隱私領域,數據顯示,在網絡上的數百萬人的就業和健康信息流露在網絡等地方,換句話理解,數據對任何互聯網人都是敞開的。
近日,美國有家著名招聘公司Ladders,由於其中壹個配置錯誤的數據庫顯示出勒索軟件攻擊的證據,導致泄露公司的大量的個人身份信息(PII):Ladders獵頭和招聘網站以用戶信息。
此公司是使用的是亞馬遜雲數據庫,其中包含1370萬用戶的就業信息,其中包括姓名,電子郵件地址,實際地址和電話號碼。它還包括典型的簡歷費用,例如就業歷史,在某些情況下還包括詳細的職位描述,它還列出了安全許可。
發生數據泄露事件後,公司的首席執行官與AWS服務提供商確認了,管理彈性搜索是安全的,只有內部員工才可以在指定的IP地址訪問。沒有關於信息暴露多長時間或是否被訪問的消息。
無獨有偶。與此同時,美國另外壹個屬於佛羅裏達州醫療公司的無擔保Elasticsearch數據庫。它包含136,995個明文記錄,信息遭到大規模泄露。
在數據庫內部是每個成員的文件,其中包含個人身份信息,壹些賬戶有醫療信息或關於用戶的註釋,這是壹個設置為'打開'並在任何瀏覽器中可見的彈性數據庫(可公開訪問),任何人都可以編輯,下載甚至刪除沒有管理憑據的數據。
數據庫中存在的證據,這可能是更大曝光的證據。即使有潛伏的這種可能性,公司在無能為力,盡管數據庫在發送信息後仍然是安全的。
令人遺憾的是,盡管高調的事件似乎每天都在湧現,但雲配置問題仍可能繼續存在:許多企業仍然不了解***享責任模型,像AWS這樣的雲提供商負責保護雲基礎架構本身,但數據所有者負責保護他們選擇在雲中托管的信息的機密性,完整性和可用性。
但最重要的是,這是用戶個人信息的數據,無論是否屬於隱私法規,企業有責任在雲環境中保護它。公司還應該從錯誤配置很常見的角度來看待雲存儲安全性,如果不可能的話。
沒有人是完美的,每個人都會犯錯誤,所以偶然的內部威脅對於控制是很重要的。當然,惡意行為者可能想從公司獲取知識產權,但數據曝光的大部分往往是偶然的。