云存儲(chǔ)數(shù)據(jù)真的安全嗎？

云存儲(chǔ)配置錯(cuò)誤繼續(xù)困擾著數(shù)據(jù)隱私領(lǐng)域，數(shù)據(jù)顯示，在網(wǎng)絡(luò)上的數(shù)百萬(wàn)人的就業(yè)和健康信息流露在暗網(wǎng)等地方，換句話理解，數(shù)據(jù)對(duì)任何互聯(lián)網(wǎng)人都是敞開(kāi)的。

云存儲(chǔ)數(shù)據(jù)安全

醫(yī)療、就業(yè)信息數(shù)據(jù)泄露

近日，美國(guó)有家著名招聘公司Ladders，由于其中一個(gè)配置錯(cuò)誤的數(shù)據(jù)庫(kù)顯示出勒索軟件攻擊的證據(jù)，導(dǎo)致泄露公司的大量的個(gè)人身份信息(PII)：Ladders獵頭和招聘網(wǎng)站以用戶信息。在這種情況下，發(fā)現(xiàn)勒索軟件隱藏在混合物中。

此公司是使用的是亞馬遜云數(shù)據(jù)庫(kù)，其中包含1370萬(wàn)用戶的就業(yè)信息，其中包括姓名，電子郵件地址，實(shí)際地址和電話號(hào)碼。它還包括典型的簡(jiǎn)歷費(fèi)用，例如就業(yè)歷史，在某些情況下還包括詳細(xì)的職位描述，它還列出了安全許可。另外，該數(shù)據(jù)庫(kù)還保留了379,000名招聘人員不太敏感的細(xì)節(jié)。

發(fā)生數(shù)據(jù)泄露事件后，公司的首席執(zhí)行官與AWS服務(wù)提供商確認(rèn)了，管理彈性搜索是安全的，只有內(nèi)部員工才可以在指定的IP地址訪問(wèn)。沒(méi)有關(guān)于信息暴露多長(zhǎng)時(shí)間或是否被訪問(wèn)的消息。

無(wú)獨(dú)有偶。與此同時(shí)，美國(guó)另外一個(gè)屬于佛羅里達(dá)州醫(yī)療公司的無(wú)擔(dān)保Elasticsearch數(shù)據(jù)庫(kù)。它包含136,995個(gè)明文記錄，包括姓名，出生日期，電話號(hào)碼，實(shí)際地址，電子郵件地址和醫(yī)療狀況信息也遭到大規(guī)模泄露。

在數(shù)據(jù)庫(kù)內(nèi)部是每個(gè)成員的文件，其中包含個(gè)人身份信息，一些帳戶有醫(yī)療信息或關(guān)于用戶的注釋，這是一個(gè)設(shè)置為'打開(kāi)'并在任何瀏覽器中可見(jiàn)的彈性數(shù)據(jù)庫(kù)(可公開(kāi)訪問(wèn))，任何人都可以編輯，下載甚至刪除沒(méi)有管理憑據(jù)的數(shù)據(jù)。

數(shù)據(jù)庫(kù)中存在勒索軟件的證據(jù)，這可能是更大曝光的證據(jù)。即使有潛伏的這種可能性，公司在無(wú)能為力，盡管數(shù)據(jù)庫(kù)在發(fā)送信息后仍然是安全的。

醫(yī)療數(shù)據(jù)泄露

數(shù)據(jù)所有者有義務(wù)保護(hù)數(shù)據(jù)

令人遺憾的是，盡管高調(diào)的事件似乎每天都在涌現(xiàn)，但云配置問(wèn)題仍可能繼續(xù)存在：許多企業(yè)仍然不了解共享責(zé)任模型，像AWS這樣的云提供商負(fù)責(zé)保護(hù)云基礎(chǔ)架構(gòu)本身，但數(shù)據(jù)所有者負(fù)責(zé)保護(hù)他們選擇在云中托管的信息的機(jī)密性，完整性和可用性。

但最重要的是，這是用戶個(gè)人信息的數(shù)據(jù)，無(wú)論是否屬于隱私法規(guī)，企業(yè)有責(zé)任在云環(huán)境中保護(hù)它。公司還應(yīng)該從錯(cuò)誤配置很常見(jiàn)的角度來(lái)看待云存儲(chǔ)安全性，如果不可能的話。

沒(méi)有人是完美的，每個(gè)人都會(huì)犯錯(cuò)誤，所以偶然的內(nèi)部威脅對(duì)于控制是很重要的。當(dāng)然，惡意行為者可能想從公司獲取知識(shí)產(chǎn)權(quán)，但數(shù)據(jù)曝光的大部分往往是偶然的。