云存儲數(shù)據(jù)真的安全嗎？

云存儲配置錯(cuò)誤繼續(xù)困擾著數(shù)據(jù)隱私領(lǐng)域，數(shù)據(jù)顯示，在網(wǎng)絡(luò)上的數(shù)百萬人的就業(yè)和健康信息流露在暗網(wǎng)等地方，換句話理解，數(shù)據(jù)對任何互聯(lián)網(wǎng)人都是敞開的。

云存儲數(shù)據(jù)安全

醫(yī)療、就業(yè)信息數(shù)據(jù)泄露

近日，美國有家著名招聘公司Ladders，由于其中一個(gè)配置錯(cuò)誤的數(shù)據(jù)庫顯示出勒索軟件攻擊的證據(jù)，導(dǎo)致泄露公司的大量的個(gè)人身份信息(PII)：Ladders獵頭和招聘網(wǎng)站以用戶信息。在這種情況下，發(fā)現(xiàn)勒索軟件隱藏在混合物中。

此公司是使用的是亞馬遜云數(shù)據(jù)庫，其中包含1370萬用戶的就業(yè)信息，其中包括姓名，電子郵件地址，實(shí)際地址和電話號碼。它還包括典型的簡歷費(fèi)用，例如就業(yè)歷史，在某些情況下還包括詳細(xì)的職位描述，它還列出了安全許可。另外，該數(shù)據(jù)庫還保留了379,000名招聘人員不太敏感的細(xì)節(jié)。

發(fā)生數(shù)據(jù)泄露事件后，公司的首席執(zhí)行官與AWS服務(wù)提供商確認(rèn)了，管理彈性搜索是安全的，只有內(nèi)部員工才可以在指定的IP地址訪問。沒有關(guān)于信息暴露多長時(shí)間或是否被訪問的消息。

無獨(dú)有偶。與此同時(shí)，美國另外一個(gè)屬于佛羅里達(dá)州醫(yī)療公司的無擔(dān)保Elasticsearch數(shù)據(jù)庫。它包含136,995個(gè)明文記錄，包括姓名，出生日期，電話號碼，實(shí)際地址，電子郵件地址和醫(yī)療狀況信息也遭到大規(guī)模泄露。

在數(shù)據(jù)庫內(nèi)部是每個(gè)成員的文件，其中包含個(gè)人身份信息，一些帳戶有醫(yī)療信息或關(guān)于用戶的注釋，這是一個(gè)設(shè)置為'打開'并在任何瀏覽器中可見的彈性數(shù)據(jù)庫(可公開訪問)，任何人都可以編輯，下載甚至刪除沒有管理憑據(jù)的數(shù)據(jù)。

數(shù)據(jù)庫中存在勒索軟件的證據(jù)，這可能是更大曝光的證據(jù)。即使有潛伏的這種可能性，公司在無能為力，盡管數(shù)據(jù)庫在發(fā)送信息后仍然是安全的。

醫(yī)療數(shù)據(jù)泄露

數(shù)據(jù)所有者有義務(wù)保護(hù)數(shù)據(jù)

令人遺憾的是，盡管高調(diào)的事件似乎每天都在涌現(xiàn)，但云配置問題仍可能繼續(xù)存在：許多企業(yè)仍然不了解共享責(zé)任模型，像AWS這樣的云提供商負(fù)責(zé)保護(hù)云基礎(chǔ)架構(gòu)本身，但數(shù)據(jù)所有者負(fù)責(zé)保護(hù)他們選擇在云中托管的信息的機(jī)密性，完整性和可用性。

但最重要的是，這是用戶個(gè)人信息的數(shù)據(jù)，無論是否屬于隱私法規(guī)，企業(yè)有責(zé)任在云環(huán)境中保護(hù)它。公司還應(yīng)該從錯(cuò)誤配置很常見的角度來看待云存儲安全性，如果不可能的話。

沒有人是完美的，每個(gè)人都會犯錯(cuò)誤，所以偶然的內(nèi)部威脅對于控制是很重要的。當(dāng)然，惡意行為者可能想從公司獲取知識產(chǎn)權(quán)，但數(shù)據(jù)曝光的大部分往往是偶然的。