近年,随着云计算的发展,在推动数字化转型带动相关市场扩大规模的同时,我们不能忽略关于云计算的安全问题。云安全是当今网络安全的一个重要课题。随着云计算的渗透,有80%的组织都遇到过云环境的安全事件,以下是2022年最有代表性的十大云安全事件。
1、FlexBooker数据泄露
美国的数字化调度平台遭遇数据泄露,黑客闯入了FlexBooker在AWS(亚马逊网络服务)的服务器后,高达370万用户的敏感信息被泄露。泄露数据包括姓名、电子邮件地址和电话号码,还包括密码散列和部分信用卡信息。这些数据随后被发布在各个黑客论坛上出售。这起泄露事件曝光于2022年1月,FlexBooker声称已解决了这个问题。但是与此同时,云安全研究人员发现了涉及FlexBooker云服务器的另一起泄露事件,此次事件多达1900万用户的个人数据被泄露。调查显示,该公司使用AWS S3存储桶来存储数据,而未采取任何安全措施。
2、BlueBleed数据泄露
微软错误的配置了Azure Blob Storage存储桶,这导致属于100多个国家的65000多家公司的2.4TB客户数据遭到泄露。在这起名为“BlueBleed”的数据泄露事件中,泄露了包括执行证明及工作声明文档、用户信息、产品订单/报价、项目详细信息等在内的数据。
3、中国最大的数据泄露
黑客从上海警方的数据库盗取了超过10亿中国公民的数据,并以此要挟上海市公安局并索要约20万美元,这是中国最大的数据泄露事件之一。被盗信息包括姓名、电话号码、政府身份证号码等。
攻击者是从中国电子商务巨头阿里巴巴的子公司阿里云托管的一个数据库中窃取的数据。调查显示,数据库本身是安全的,但管理仪表板却可以从开放的互联网随意访问。
4、微软遭到Lapsus$攻击
臭名昭著的Lapsus$黑客组织成功入侵了微软的Azure DevOps服务器并窃取了37GB的重要数据,这些数据主要是微软各个内部项目的源代码,包括必应、必应地图和Cortana。该黑客组织随后在Telegram频道上泄露了被盗的数据。微软透露本次攻击的细节为攻击者闯入了他们一名员工的帐户,并获得了对源代码存储库的有限访问权。
5、Medibank数据泄露
Medibank是澳大利亚最大的健康保险公司之一,也遭遇大规模数据泄露,此次事件对900多万名客户造成了影响。该公司的云数据网络遭到黑客入侵,被窃取了大量的客户信息。该公司拒绝支付赎金后,部分的被盗数据被发布在了暗网。泄露的信息包括姓名、地址、出生日期、电话号码等重要客户信息。
6、飞马航空数据泄露
土耳其低成本航空公司飞马航空公司(Pegasus Airlines)由于配置错误的AWS S3存储桶泄露了约6.5 TB的数据,包括敏感的航班数据、源代码和机组人员的个人信息。
2022年3月飞马航空公司得知此次事件,近一个月的时间该公司才解决问题。
7、Mangatoon数据泄露
黑客从安全不到位的Elasticsearch数据库中窃取了属于在线漫画书提供商Mangatoon的2300万用户的数据。这次攻击事件泄露了广大用户的姓名、电子邮件地址、性别、社交媒体账户身份、社交登录的认证令牌以及加入随机字符串的MD5密码散列。
8、Kronos遭到攻击
2021年12月,云人力资源管理公司Kronos遭到勒索软件攻击,彪马(Puma跨国运动服装制造商)成为受害者之一。攻击者访问了Kronos私有云(KPC)云环境,并在部署勒索软件之前窃取了数据,包括6000多名彪马员工的数据。
9、亚马逊Prime数据泄露
美国科技巨头亚马逊任由一个名为“Sauron”的未加保护的Prime视频数据库泄露了大约2.15亿条Prime视频观看偏好记录。
该数据库存储在亚马逊内部的一台服务器上,存储有数百万条匿名观看信息记录,比如流播放的节目/影片、使用的设备、网络质量、订阅详细信息和Prime客户状态。亚马逊称,问题的根本原因是Prime视频分析服务器出现了部署错误,任何帐户信息(包括凭据和支付资料)并没有受到影响。
10、Civicom数据泄露
Civicom是一家提供音频、互联网会议和市场研究服务的公司,由于Amazon S3存储桶的错误配置泄露了大量客户的敏感数据,该存储桶在没有安全防护的情况下一直处于敞开的状态。Civicom在此次事件中泄露了8GB的记录,涉及了超过10万份文件,包括数万小时的秘密对话音频和视频记录、公司客户的书面记录,以及员工的完整姓名和照片等个人身份信息(PII)。
云安全专业人才培养:
通过以上的云安全事件不难看出大部分的云安全事件都是由于企业或云安全维护人员疏于防护,没有采取标准化、专业化的云安全相关措施。CSA云安全联盟为了确保组织可以以最佳的安全控制来保证云环境的构建与使用,提出了云安全内最权威的CCSK云计算安全知识认证。全面阐述了云计算的安全概念及解决方案,为云安全的从业者提供了工作的标准。通过此认证云安全从业者可以最大限度的理解云安全的改概念并学会云安全的落地实践,帮助云相关企业的数据防护牢不可破,是现在乃至未来云计算相关市场争抢的人才。