安全配置不当,逾15亿条敏感数据遭泄露! – 作者:ijzmesec

超15亿个敏感文件通过互联网对外暴露,其中包括专利申请,工资单,纳税申报表,病人简历,版权申请和源代码。数据暴露的途径不是通过任何网络攻击和非法犯罪手段,源于配置不当的云存储,文件交换协议和文件共享服务。

根据数字Digital Shadows的报道,在三个月的时间内公开的曝光敏感数据文件逾15亿,数据量超过12,000 TB。可以由SMB(33%),Rsync (28%),FTP(26%),Amazon S3对象存储(7%),配置错误的网站索引和NAS驱动器上公开获得。

2.png

“和其他国相比,美国通过SMB,FTP,Web索引和NAS设备之间共享的公共可见文件数量最多。有15亿个敏感文件,欧盟范围内有537万个文件”,Digital Shadows报道中说。

3.png

通过对这些文件分析表明,组织和个人都是无意中泄露了大量的数据,这些数据可以做为攻击者当做的线索,包括间谍活动和经济犯罪”。

公开披露的数据中包含大量员工数据,例如工资单文件(707960)和纳税申报单文件(64048)。超过200万个包含意大利MRI等个人健康信息的文件也被泄露。

暴露的数据还包括源代码,患者病例,分别有95434和4548份。暴露的数据是攻击者的金矿,他们可以使用这些公开可用的数据作为网络攻击的线索。暴露的信息可以省去攻击者情报搜集的过程。

令人震惊的是,一些高度敏感的信息,例如安全审计报告,网络基础架构详细信息和渗透测试报告也都被公开存储在网上。

我们经常听说过很多亚马逊对象存储数据泄露,通过github的泄露,但从其他文件交换协议和共享服务暴露的敏感数据远比S3存储的的多。

《中华人民共和国网络安全法》自2017年6月1日开始实施,如果其中有关于个人已经重点关键基础信息都有了明确的规定,如果企业安全配置不当导致信息泄露,企业会面临巨额罚款和有关责任人要承担法律责任。

数据是一个公司的重要组成部分。数据安全刻不容缓,个人安全意识提高和技术防范手段都要紧抓。

来源:freebuf.com 2018-04-10 18:39:54 by: ijzmesec

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论