最近,美國著名招聘公司Ladders披露了該公司的大量個人身份信息(PII),因為其壹個配置錯誤的數據庫顯示了勒索軟件攻擊的證據:Ladders的獵頭和招聘網站使用了用戶信息。
這家公司用的是亞馬遜雲數據庫,裏面有654.38+0370萬用戶的就業信息,包括姓名、郵箱、實際地址、電話。它還包括典型的簡歷費用,如就業歷史,在某些情況下,詳細的工作描述。它還列出了安全許可。
數據泄露事件發生後,該公司CEO向AWS服務提供商確認,管理彈性搜索是安全的,只有內部員工才能在指定的IP地址訪問。這些信息暴露了多久,或者是否被訪問過,都沒有消息。
巧合的是。同時,美國另壹個不安全的Elasticsearch數據庫屬於佛羅裏達醫療公司。包含136995條明文記錄,信息已經大規模泄露。
在數據庫中是每個成員的檔案,其中包含個人身份信息。有些賬戶有關於用戶的醫療信息或評論。這是壹個設置為“開放”的彈性數據庫,在任何瀏覽器中都可見(可公開訪問)。任何人都可以在沒有管理憑證的情況下編輯、下載甚至刪除數據。
數據庫中的證據,這可能是更多暴露的證據。即使存在這種潛在的可能性,公司也無能為力,盡管發送信息後數據庫仍然是安全的。
遺憾的是,雖然高調事件似乎每天都在湧現,但雲配置問題可能依然存在:很多企業仍然不了解* * *共享責任模式。像AWS這樣的雲提供商負責保護雲基礎設施本身,但數據所有者負責保護他們選擇在雲中托管的信息的機密性、完整性和可用性。
但最重要的是,這是用戶個人信息的數據。無論是否屬於隱私條例,在雲環境下企業都有責任保護。公司還應該從錯誤配置很常見(如果不是不可能的話)的角度來看待雲存儲安全性。
沒有人是完美的,每個人都會犯錯,所以偶然的內部威脅對於控制非常重要。當然,惡意行為者可能希望從公司獲得知識產權,但大多數數據暴露往往是偶然的。