2020年是多災多難的一年。 這一年，數據洩露事件比過去15年的加起來還多。 Canalys 發佈的網路安全評論中有300起報告洩露事件（比2019年增長119%），310億條數據記錄遭到洩露（比2019年增長171%）。 這能怪新型冠狀病毒嗎？ 不能，它只是一個導火索。

當疫情將我們限制在家裡時，考驗線上交互產品的時間到了。 運營交互產品的公司戰戰兢兢，一怕公司訪問資源不夠用;二怕駭客搞遊擊戰己方分身乏術。

2020年，美國提高網路安全支出，但即便增長率高達10%，也沒能摸到數字化轉型的腳後跟。 在網路安全方面，美國正處於捉襟見肘的局面，實在無法保衛公有雲基礎設施和現代化應用程式。

就在大家放棄抵抗的同時，那些複雜的環境、碎片化的堆疊;那些無窮無盡的基礎設施;那些前所未有的速度和龐大的數據規模，每一拳都捶打在網路安全的痛點上。

下面會分述2020年最大的9起雲漏洞事件。 這個「大」不指受損的數據與數量，而是指暴露的範圍和潛在的漏洞。 我們會描述這些重大事故是如何發生的，也會總結事件的關鍵點，希望可以幫到你。

一、內部數據的錯誤配置

2020年1月，微軟公開了一起內部事故：2019年12月5日公司在更改資料庫安全組時，員工引入了錯誤的安全配置規則，導致2.5億條支援案例記錄遭到破壞，其中包括電子郵件、IP位址和支援案例的詳細資訊。

事後微軟表示，這次的事故沒有暴露任何商業雲服務，也就是說商業客戶的數據是安全的。 而且一般情況下，個人資訊在自動編輯后也會被刪除。

客戶數據一旦丟失，駭客就會利用這些數據實施釣魚攻擊，後果不堪設想。 Check Point 事件處理小組已經發現了許多釣魚攻擊，這些駭客只需發起關鍵任務，例如”您的IT支援郵箱已滿”或”新語音郵件：無法訪問資源”，就可以通過訪問歷史記錄發動攻擊。

值得一提的是，這起事故是由第三方檢測出來的，這不但讓人們意識到加強內部資源網路安全規則審核的重要性，更意識到檢測安全規則錯誤配置和即時提醒安全團隊的重要性。

二、未受保護的資料庫有多危險

2021年1月30日，一名網路安全研究員發現，雅詩蘭黛教育平臺的部分資料庫沒有密碼保護。 也就是說，只要你訪問就可以純文本用戶電子郵件、IP 位址、埠、路徑和存儲資訊。 駭客可以利用這些資訊抓取未加密的生產、審計、錯誤、CMS 和中間件日誌了，危險可想而知。

雅詩蘭黛發現風險后第一時間修復了這個錯誤，他們也表示沒有洩露任何客戶的數據。 從這次的事件中我們可以發現三個可以改進的點：

有效的發現和管理對資料庫安全至關重要。 未受保護的數據隨時會變成威脅，還會為網路釣魚攻擊大開方便之門。

絕不能為了靈活輕鬆的配置雲資源取消密碼保護，這會付出安全上的慘重代價。

數據應始終加密，即使在非生產資料庫中也是如此。

三、八年未受保護的秘密資料庫

2020年3月10日《華盛頓郵報》爆出一篇文章，文章中提到一個可以共用秘密的手機應用 Whisper 從2012年到2020年安全事故爆出后，有9億個帖子的資料庫都沒有受到保護。 資料庫中還包括用戶的年齡、種族、性別、家鄉、昵稱和群組成員身份。

Whisper 立刻聯繫到《華盛頓郵報》刪除該文章，同時發現這起事件的網路安全研究員還沒有證明這些數據被使用過。

這件事情就這樣結束了。 但是我們應該知道造成這種事件的原因是什麼。 CPIRT 的研究人員表示，出現洩露的伺服器和服務通常是配置錯誤和補丁過時。

如果設置一些定時外部攻擊和自身掃描檢測伺服器，也許情況會更好一些。

在混合雲和多雲的複雜環境下，只有建立有效的安全監控，才能防患於未然。

四、伺服器中的人臉識別數據洩露

2020年3月一家巴西生物識別方案公司被安全研究員發現在不設防的伺服器上放置著8150萬條記錄。 這些記錄中包含的資訊有：管理員登錄資訊、員工電話號碼、電子郵件位址、公司電子郵件和與 76，000 個指紋相關的二進位代碼，這些代碼對指紋可進行逆向追溯。 我們在暴露的資料庫中還發現了面部識別數據。

這次的問題出在上雲的過程中。 公司沒有將安全的數據配置到基於雲的資料庫上儲存。

CPIRT 的調查員見到過很多次匆忙的雲遷移，然而這種自亂陣腳的做法給駭客提供了不少鑽空子的機會。

所以應用程式要在從本地基礎架構奔向雲基礎架構時，做好特殊防護措施。 比如密碼保護和數據加密等等。

五、日常維護期間暴露的50億條記錄

2020年3月，一家服務提供者的50億條記錄在日常維護期間遭到暴露。

起因是，數據承包商為了加快 Elasticsearch 資料庫的遷移，為互聯網索引服務 BinaryEdge 打開一個窗口，關了10分鐘防火牆。

一名安全研究人員在這10分鐘內通過未受保護的埠訪問了資料庫，提取了很小一部分記錄。 可見這是不安全的。

洩露的數據中包括電子郵件和密碼。 安全管理員雲使用這些洩漏的數據通知 Keepnet 的客戶自己是否安全。

事後 Keepnet 加強了漏洞的檢測強度，即使是在日常也不放鬆。

在CPIRT看來，穩定的安全架構應該從早期設計階段就開始考慮。 否則為了提高性能放棄安全控制系統很容易成為駭客的靶子。

相信這種前期投資可以節省很多安全管理的時間和資源。

六、錯誤配置的雲伺服器洩露訪客資訊

2020年7月，MGM酒店承認自己在暗網上出售1.42億有關客人的資訊。 被黑的數據有客人的家庭住址、聯繫資訊、出生日期、駕照號碼和護照號碼。 幸運的是，沒有包含財務資訊、身份證和預訂詳情。

這起違規行為可能是2019年7月中的一部分。 2010年2月這些資訊被駭客購買。 駭客通過這些數據實施了釣魚攻擊。

漏洞產生的原因是配置錯誤的雲伺服器可以在未經授權的情況下被訪問。

我們應該會發現這些錯誤配置都是人為的，那麼自動化安全工作的重要性就不言而喻了。

七、未被發現的個人財務數據洩露

2020 年 9 月，華納媒體集團 （WMG） 宣佈自己成為為期三個月的 Magecart 數據收集攻擊的受害者。

從 2020 年 4 月 25 日到 8 月 5 日，駭客將用戶的個人資訊（姓名、電子郵件地址、電話號碼、帳單和送貨位址）和信用卡資訊（卡號、CVC、到期日期）洩露到網站。

在事件發生後對 WMG 提起的集體訴訟中，原告寫道： “這一違規行為持續了三個多月而未被發現，這表明華納媒體集團涉嫌缺乏保護其客戶的安全。” WMG 從慘痛的教訓中吸取的教訓是，下一代監控系統會更快地檢測到問題，甚至可以先發制人。

八、加密攻擊下的 Kubernetes

2020 年 6 月，駭客在 Microsoft Azure 上的計算密集型 Kubernetes 機器學習節點上發起了一次成功的加密攻擊活動。 目標是 Kubeflow，這是一個在 Kubernetes 中管理 ML 任務的開源專案。

Kubeflow 的儀錶板不是為了安全。 錯誤配置的服務允許未經授權的使用者執行 Kubeflow 操作，包括部署的新容器。

Azure 安全中心在此次攻擊影響了數十個 Kubernetes 集群，但沒有說明資源劫持的範圍會影響到駭客利用儀錶板進行攻擊。

因為雲的自動擴展功能，雲服務提供者成為加密挖掘活動的常見目標。 受害者通常只有在月底收到極高的雲使用帳單時才會意識到這一漏洞。

在任何情況下，完全依賴雲服務提供者的安全控制系統是不可取的。 每個組織都必須瞭解其在雲安全的責任。

九、商業夥伴可以看到用戶註冊資訊

2020年12月，音樂播放軟體 Spotify 表示有數量未公開的用戶註冊資訊意外暴露給了它的業務合作夥伴。 Spotify 的業務合作夥伴可能會訪問使用者的敏感資訊，包括使用者的電子郵件位址、首選顯示名稱、密碼、性別和出生日期。 該漏洞是 4 月份發生的直到11 月份才被系統發現。

如果可以自動掃描和定期攻擊測試，這些系統可能會更有效一些。

保證自己雲資產的安全不僅僅是 Spotify 的難題，更是所有互聯網企業需要面臨的問題。

2020 年 6 月，參與IDC 雲安全調查的 300 名美國 CISO（資訊安全官）表示，雲生產環境的首要問題是安全配置錯誤 （67%）、缺乏對訪問設置和活動的可見性 （64%） 以及身份和訪問管理 （IAM） 錯誤 （61%）。 他們的雲安全優先事項是合規性監控 （78%）、授權和許可權管理 （75%） 以及安全配置管理 （73%）。

由於以上挑戰和優先事項，企業正在尋求第三方安全供應商來補充其雲供應商的安全工具和服務，並提供自動化和統一的雲安全解決方案。

寫在最後

保持網路和數據資產安全是安全團隊和駭客之間永無休止的戰鬥。 資產管理不善、安全配置錯誤和數據未加密是導致敏感數據和其他資源產生漏洞的主要原因。

漏洞是雲網路安全和雲安全管理不良的結果。 我們理應舉一反三，不要被同一個問題絆倒兩次。