在535,000个开放的云存储桶中暴露了196亿个文件
Mysterium VPN的一份新报告为一个安全问题给出了惊人的数字,安全研究人员多年来一直对此发出警告:目前有196亿个文件在互联网上公开可访问,这些文件存储在超过535,000个配置错误的云存储桶中,无需密码、无需身份验证,也无需任何黑客技能即可访问。其中包含近70万个凭据和密钥文件,攻击者可借此直接访问实时系统、数据库和内部基础设施。
这并非传统意义上的数据泄露。没有人需要利用漏洞或拦截网络流量。这些数据仅仅是开放的,因为云存储配置设置错误且一直未予纠正。
暴露规模:196亿个文件,零密码
如此庞大的暴露数据量难以让人有直观概念。196亿个文件分布在超过50万个存储桶中,这是迄今为止记录在案的规模最大的云存储桶配置错误暴露事件之一。这些存储桶跨越各个云平台,从小型开发者到大型企业,各种规模的机构都在其中存储应用数据、备份、日志和敏感记录。
云存储配置错误并非新问题,但报告所揭示的规模表明,这一问题远未解决。默认设置、仓促部署以及云安全知识的欠缺,共同导致存储桶被设置为公开可读。在许多情况下,负有责任的机构甚至可能不知道自己的数据已被暴露。
这与其它备受关注的事件所呈现的模式相似。最近,FTF Live一个配置错误的分析仪表板导致超过2200万条视频聊天会话记录被公开访问,这说明了单一基础设施的疏忽如何在不发生任何主动攻击的情况下,大规模地暴露敏感数据。
为什么凭据和密钥文件是最危险的泄露
在196亿个暴露文件中,近70万个凭据和密钥文件是风险最高的一类,且遥遥领先。这些文件通常包含API密钥、数据库密码、私有加密密钥、SSH凭据和云服务商访问令牌。
当攻击者在开放的存储桶中发现凭据文件时,他们接下来无需任何技术上的复杂操作。他们可以利用这些凭据直接对他们所保护的系统进行认证。这可能意味着对生产数据库的读写权限、利用他人账户启动云基础设施,或者进入原本完全无法企及的内部系统。
数据库转储文件则构成另一种同样严重的风险。这些文件通常包含用户记录、哈希后或明文密码、个人信息以及交易数据。来自医疗保健服务商、金融平台或电子商务网站的数据库转储,可能包含攻击者进行身份盗用、账户接管或勒索所需的一切信息。
云配置错误如何绕过甚至受VPN保护的网络
这类暴露最违反直觉的一点是,它绕过了许多组织所依赖的安全控制措施。VPN、防火墙和网络访问控制旨在保护系统之间流动的流量。但当数据存储在公共云存储桶中时,它根本不经过那些受保护的网络,而是存放在任何能连接互联网的人都能触及的地方。
这意味着,身处另一个国家的攻击者,即使无法访问企业网络,也无法绕过防火墙,仍可直接导航至存储桶的公开URL来获取其内容。数据实际上存在于大多数组织安全工具所防御的边界之外。
这就是为什么配置错误的云存储桶暴露已成为威胁行为者收集数据最高效的途径之一。没有攻击需要检测,没有异常流量需要标记,也没有入侵需要调查。从基础设施的角度看,有人读取开放存储桶,与常规流量看起来完全一样。
组织和个人现在可以采取的措施
对于管理云存储的组织来说,最紧迫的步骤是进行权限审计。应审查每个存储桶,确认其未被设置为公共访问,除非有明确且存档的理由需要这样做。包括AWS、Google Cloud和Azure在内的主要云服务商都提供工具来识别权限过于宽松的存储桶,有些现在还提供了账户级别的设置,默认阻止所有公共访问。
除了权限之外,凭据卫生极为重要。凭据和密钥文件在任何情况下都不应存储在云存储桶中。市面上有专门的密钥管理工具,用于安全地处理API密钥、令牌和凭据,使其完全脱离文件存储。
对于个人而言,风险更多不在于你控制什么,而在于掌握你数据的组织控制了什么。实际操作步骤大家早已熟悉:为每个账户使用唯一且强健的密码,这样从一个服务泄露的凭据就不会打开其他账户;在任何提供多因素认证的地方都启用它;并监控账户是否有异常活动。
Mysterium VPN的调查结果提醒我们,一些最重大的数据安全风险根本不涉及复杂的攻击,而是涉及那些持续数月或数年未被发现的日常管理疏忽。审计云存储卫生状况并非引人注目的工作,但就这份报告描述的规模而言,这是组织当下可以做的最为重要的安全工作之一。
