Có bao nhiêu tệp tin bị lộ trong các xô lưu trữ đám mây mở này?

Hiện có 19,6 tỷ tệp tin đang nằm công khai có thể truy cập trên internet trong hơn 535.000 xô lưu trữ đám mây bị cấu hình sai.

Điều gì khiến các tệp thông tin xác thực và khóa trở thành loại dữ liệu bị lộ nguy hiểm nhất?

Những tệp này thường chứa khóa API, mật khẩu và mã truy cập cho phép kẻ tấn công xác thực trực tiếp vào các hệ thống được bảo vệ mà không cần kỹ thuật hack phức tạp, có khả năng cấp quyền truy cập vào cơ sở dữ liệu, hạ tầng đám mây và mạng nội bộ.

Tại sao các xô lưu trữ đám mây này lại có thể truy cập công khai ngay từ đầu?

Chúng bị bỏ mở do cài đặt lưu trữ đám mây bị cấu hình sai, thường do cài đặt mặc định, triển khai vội vàng hoặc lỗ hổng kiến thức về bảo mật đám mây, và các tổ chức chịu trách nhiệm có thể thậm chí không nhận ra dữ liệu của họ đang bị lộ.

Loại dữ liệu nhạy cảm nào khác, ngoài thông tin xác thực, được nhấn mạnh là rủi ro nghiêm trọng trong báo cáo?

Các bản sao lưu cơ sở dữ liệu được ghi nhận là rủi ro riêng biệt nhưng nghiêm trọng không kém, thường chứa hồ sơ người dùng, mật khẩu, thông tin cá nhân và dữ liệu giao dịch.

Gần đây có vụ phơi bày quy mô lớn tương tự nào từ một cấu hình sai duy nhất xảy ra không?

Có, một bảng điều khiển phân tích bị cấu hình sai tại FTF Live gần đây đã làm lộ hơn 22 triệu bản ghi phiên trò chuyện video, cho thấy một sơ suất duy nhất có thể làm rò rỉ khối lượng lớn dữ liệu nhạy cảm như thế nào.

19,6 Tỷ Tệp Tin Bị Lộ Trong 535.000 Xô Lưu Trữ Đám Mây Mở

Một báo cáo mới từ Mysterium VPN đã đưa ra một con số đáng kinh ngạc cho vấn đề mà các nhà nghiên cứu bảo mật đã cảnh báo trong nhiều năm: 19,6 tỷ tệp tin hiện đang nằm công khai có thể truy cập trên internet, được lưu trữ trong hơn 535.000 xô lưu trữ đám mây bị cấu hình sai, không cần mật khẩu, không cần xác thực, và không cần kỹ năng hack nào để truy cập. Trong số những tệp đó có gần 700.000 tệp chứa thông tin xác thực và khóa, có thể trao cho kẻ tấn công quyền truy cập trực tiếp vào các hệ thống đang hoạt động, cơ sở dữ liệu và hạ tầng nội bộ.

Đây không phải là một vụ xâm phạm theo nghĩa truyền thống. Không ai cần khai thác lỗ hổng hay chặn bắt lưu lượng mạng. Dữ liệu chỉ đơn giản là để mở, hậu quả của việc cài đặt cấu hình lưu trữ đám mây không chính xác và bị bỏ mặc như vậy.

Quy Mô Phơi Bày: 19,6 Tỷ Tệp Tin, Không Mật Khẩu

Khối lượng dữ liệu bị lộ tuyệt đối thực sự khó định hình. Với 19,6 tỷ tệp tin trải rộng trên hơn nửa triệu xô lưu trữ, đây là một trong những trường hợp phơi bày xô lưu trữ đám mây bị cấu hình sai lớn nhất từng được ghi nhận. Những xô này trải dài trên các nền tảng đám mây nơi mọi tổ chức ở mọi quy mô, từ nhà phát triển độc lập đến các doanh nghiệp lớn, lưu trữ dữ liệu ứng dụng, sao lưu, nhật ký và hồ sơ nhạy cảm.

Lưu trữ đám mây bị cấu hình sai không phải là vấn đề mới, nhưng quy mô được báo cáo ở đây cho thấy nó còn lâu mới được giải quyết. Các cài đặt mặc định, việc triển khai vội vàng và lỗ hổng kiến thức về bảo mật đám mây đều góp phần khiến các xô bị để ở chế độ công khai có thể đọc được. Trong nhiều trường hợp, các tổ chức chịu trách nhiệm có thể thậm chí không biết dữ liệu của mình đang bị lộ.

Điều này phản ánh các mô hình từng thấy trong những sự cố nghiêm trọng khác. Một bảng điều khiển phân tích bị cấu hình sai tại FTF Live gần đây đã để lộ công khai hơn 22 triệu bản ghi phiên trò chuyện video, minh họa cách một sơ suất hạ tầng duy nhất có thể phơi bày dữ liệu nhạy cảm ở quy mô lớn mà không cần bất kỳ cuộc tấn công chủ động nào diễn ra.

Tại Sao Các Tệp Thông Tin Xác Thực và Khóa Là Vụ Rò Rỉ Nguy Hiểm Nhất

Trong số 19,6 tỷ tệp bị lộ, gần 700.000 tệp chứa thông tin xác thực và khóa là nhóm có rủi ro cao nhất, bỏ xa các nhóm khác. Những tệp này thường chứa khóa API, mật khẩu cơ sở dữ liệu, khóa mã hóa riêng tư, thông tin xác thực SSH và mã truy cập nhà cung cấp đám mây.

Khi kẻ tấn công tìm thấy tệp thông tin xác thực trong một xô mở, chúng không cần làm gì phức tạp về mặt kỹ thuật tiếp theo. Chúng có thể lấy những thông tin đó và xác thực trực tiếp vào các hệ thống mà chúng bảo vệ. Điều đó có thể đồng nghĩa với quyền đọc và ghi vào cơ sở dữ liệu sản xuất, khả năng khởi tạo hạ tầng đám mây trên tài khoản của người khác, hoặc thâm nhập vào các hệ thống nội bộ vốn hoàn toàn ngoài giới hạn.

Các tệp sao lưu cơ sở dữ liệu gây ra rủi ro riêng biệt nhưng nghiêm trọng không kém. Những tệp này thường chứa hồ sơ người dùng, mật khẩu đã băm hoặc ở dạng văn bản thuần túy, thông tin cá nhân và dữ liệu giao dịch. Một bản sao lưu cơ sở dữ liệu từ nhà cung cấp dịch vụ y tế, nền tảng tài chính hay trang thương mại điện tử có thể chứa mọi thứ kẻ tấn công cần để tiến hành đánh cắp danh tính, chiếm đoạt tài khoản hoặc tống tiền.

Các Cấu Hình Sai Đám Mây Vượt Qua Cả Những Mạng Được Bảo Vệ Bằng VPN Như Thế Nào

Một trong những khía cạnh trái ngược với trực giác của kiểu phơi bày này là nó lách qua nhiều biện pháp kiểm soát an ninh mà các tổ chức tin cậy. VPN, tường lửa và kiểm soát truy cập mạng được thiết kế để bảo vệ lưu lượng di chuyển giữa các hệ thống. Nhưng khi dữ liệu được lưu trữ trong xô đám mây công cộng, nó hoàn toàn không đi qua các mạng được bảo vệ đó. Nó nằm ở một vị trí mà bất kỳ ai có kết nối internet đều có thể tiếp cận.

Điều này có nghĩa là kẻ tấn công ở một quốc gia khác, không có quyền truy cập vào mạng doanh nghiệp và không có khả năng vượt qua tường lửa, vẫn có thể lấy nội dung của xô bị lộ bằng cách điều hướng trực tiếp đến URL công khai của nó. Dữ liệu về cơ bản nằm bên ngoài phạm vi mà hầu hết các công cụ bảo mật của tổ chức được thiết kế để bảo vệ.

Đây là lý do vì sao phơi bày xô lưu trữ đám mây bị cấu hình sai đã trở thành một trong những con đường hiệu quả nhất để các tác nhân đe dọa thu thập dữ liệu. Không có cuộc tấn công nào để phát hiện, không có lưu lượng bất thường nào để gắn cờ, và không có xâm nhập nào để điều tra. Từ góc độ hạ tầng, ai đó đọc một xô mở trông giống hệt như lưu lượng thông thường.

Các Tổ Chức và Cá Nhân Có Thể Làm Gì Ngay Bây Giờ

Đối với các tổ chức quản lý lưu trữ đám mây, bước cấp bách nhất là kiểm tra quyền truy cập. Mọi xô lưu trữ nên được rà soát để xác nhận rằng nó không được đặt ở chế độ truy cập công khai, trừ khi có lý do có chủ đích và được ghi nhận. Các nhà cung cấp đám mây lớn bao gồm AWS, Google Cloud và Azure đều cung cấp các công cụ để xác định những xô có quyền truy cập quá mức, và một số hiện cung cấp cài đặt cấp tài khoản để chặn toàn bộ truy cập công khai theo mặc định.

Ngoài quyền truy cập, vệ sinh thông tin xác thực có ý nghĩa cực kỳ quan trọng. Các tệp thông tin xác thực và khóa không bao giờ nên được lưu trữ trong các xô lưu trữ đám mây trong bất kỳ hoàn cảnh nào. Các công cụ quản lý bí mật tồn tại chính xác để xử lý khóa API, mã thông báo và thông tin xác thực một cách an toàn, giữ chúng hoàn toàn khỏi lưu trữ tệp.

Đối với cá nhân, rủi ro ít liên quan đến những gì bạn kiểm soát mà liên quan nhiều hơn đến những gì các tổ chức nắm giữ dữ liệu của bạn kiểm soát. Các bước thực tế rất quen thuộc: sử dụng mật khẩu mạnh và duy nhất cho mỗi tài khoản để một tập tin thông tin bị lộ từ dịch vụ này không thể mở khóa các dịch vụ khác, bật xác thực đa yếu tố ở bất cứ nơi nào được cung cấp, và theo dõi các tài khoản để phát hiện hoạt động bất thường.

Những phát hiện của Mysterium VPN là lời nhắc nhở rằng một số rủi ro bảo mật dữ liệu nghiêm trọng nhất hoàn toàn không liên quan đến các cuộc tấn công tinh vi. Chúng liên quan đến những sơ suất quản trị thông thường không được kiểm tra trong nhiều tháng hoặc nhiều năm. Kiểm tra vệ sinh lưu trữ đám mây không phải là công việc hào nhoáng, nhưng ở quy mô mà báo cáo này mô tả, đó là một trong những công việc bảo mật có hệ quả nhất mà một tổ chức có thể làm ngay bây giờ.