美国联邦调查局( FBI )称,恶意黑客可利用匿名文件传输协议( FTP )服务器漏洞入侵小型医疗机构与牙科诊所,获取医疗记录和其他敏感私人信息,并以此进行骚扰、恐吓、勒索甚至欺诈。
相应补救措施是删除服务器中所有个人身份信息( PII )与受保护的健康信息( PHI ),将现有 FTP 替换为更安全的文件传输服务。然而,尽管将敏感数据存储在 FTP 服务器的风险众所周知,小型企业通常并不具备专业升级技术或动机。
匿名 FTP 无需身份验证即可访问服务器文件,建议仅使用此类服务器存储公开文件。匿名 FTP 扩展允许用户使用“ anoymous ”或“ ftp ”等常见用户名在无需提交密码、通用密码或电子邮件地址的情况下通过 FTP 服务器进行身份验证。
《健康保险流通与责任法案》( HIPAA )通过对违规者惩处罚金的方式对 PHI 进行保护。此外,《隐私法》与相关条例也通过类似方法对 PII 进行保护。
Globalscape 产品战略和技术联盟副总裁 Peter Merkulov 表示,PII 和 PHI 数据泄露的代价远远超过替换为更安全的文件传输服务和支持(如 SFTP 或 FTPS )的成本。FTP 是一个早已过时的协议,即使在不匿名的模式下使用也极其危险。虽然现存数量较以往有所减少,但通常部署于多年前且从未进行过升级,甚至被遗忘。这种情况在大型组织机构尤为常见。
尽管如此,FBI 引用的《 2015 年度研究报告》仍显示,超过一百万台 FTP 服务器被配置为允许匿名访问。Merkulov推测 FBI 此举的动机源于实际调查工作中对 FTP 漏洞利用的发现。
摆脱匿名 FTP 服务其实十分简单,仅需花费数分钟更改服务器设置。如果根据访问服务器的客户端软件类型操作,整个过程会更复杂,需要对用户凭据和帐户进行设置。
原作者:Tim Greene,译者:青楚,校对:Liuf
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接
请登录后发表评论
注册