網(wǎng)絡(luò)安全公司UpGuard的網(wǎng)絡(luò)風(fēng)險(xiǎn)小組發(fā)布報(bào)告指出,由世界一流的商業(yè)財(cái)經(jīng)信息提供商、新聞媒體出版集團(tuán)道瓊斯公司持有的一套云文件存儲庫存在配置錯誤,且其中包含的來自數(shù)百萬家企業(yè)客戶的個人及財(cái)務(wù)敏感信息以半公開形式接受網(wǎng)絡(luò)訪問。盡管道瓊斯方面證實(shí)至少有220萬客戶受到影響,但根據(jù)UpGuard方面的計(jì)算,受影響客戶量可能接近400萬。
UpGuard網(wǎng)絡(luò)風(fēng)險(xiǎn)小組是一個致力于發(fā)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)泄露事故的單位,其負(fù)責(zé)保護(hù)敏感信息、防止?jié)撛诘臑E用風(fēng)險(xiǎn),以及提高公眾對于數(shù)字化時(shí)代之下影響數(shù)據(jù)安全性的各類風(fēng)險(xiǎn)問題的認(rèn)知。
為何泄露?此次泄露的數(shù)據(jù)包括《華爾街日報(bào)》以及《巴倫周刊》在內(nèi)的各道瓊斯公司出版物的數(shù)百萬名訂閱者的姓名、地址、帳戶信息、電子郵件地址以及信用卡后四位號碼。
另外,此次一同被暴露在云端的還有“道瓊斯風(fēng)險(xiǎn)與合規(guī)”系列數(shù)據(jù)庫當(dāng)中的160萬條記錄,這些數(shù)據(jù)庫屬于一個僅供企業(yè)訂閱的情報(bào)項(xiàng)目,用以幫助各金融機(jī)構(gòu)遵循法規(guī)以打擊洗錢活動。
此次暴露的數(shù)據(jù)存儲庫為一個Amazon Web Services S3存儲桶,管理人員通過權(quán)限設(shè)置將其配置為允許任何AWS“認(rèn)證用戶”通過該存儲庫的URL進(jìn)行數(shù)據(jù)下載。
根據(jù)Amazon方面給出的定義,所謂“認(rèn)證用戶”是指“任何擁有Amazon AWS帳戶的用戶”,而AWS帳戶免費(fèi)提供注冊。
此次云數(shù)據(jù)泄露事件說明不安全的數(shù)據(jù)管理機(jī)制會帶來持續(xù)威脅,而錯誤的安全設(shè)置則直接導(dǎo)致數(shù)百萬道瓊斯客戶的敏感信息被他人窺探。就此前成功實(shí)施攻擊的類似案例來說,這些暴露在云端的數(shù)據(jù)很可能被惡意人士所利用。
更為著急的是,道瓊斯公司對這一事故諱莫如深的態(tài)度更是致使數(shù)據(jù)遭遇曝光的客戶無法快速行動以保護(hù)自己的個人信息。
發(fā)現(xiàn)過程2017年5月30日晚,UpGuard網(wǎng)絡(luò)風(fēng)險(xiǎn)研究主管克里斯·維克里發(fā)現(xiàn)了一個采用“dj-skynet”子域名且可供AWS認(rèn)證用戶訪問的Amazon S3云數(shù)據(jù)存儲庫。盡管存儲庫本身的標(biāo)題與內(nèi)容指明這部分?jǐn)?shù)據(jù)很可能源自道瓊斯,這一點(diǎn)此后也得到了道瓊斯公司首席信息安全官的證實(shí),但其中的“Skynet”——即天網(wǎng),似乎是指《終結(jié)者二:審判日》電影中的毀滅性計(jì)算機(jī)系統(tǒng)。
今年6月1日,維克里開始下載該存儲庫中的內(nèi)容,5天之后發(fā)現(xiàn)內(nèi)容不再允許下載。
“dj-skynet“存儲庫當(dāng)中包含數(shù)十個目錄,其中多個文件夾以”build_assets“、”development“、”customerlogin“以及”cust_subscription“等短語命名。在點(diǎn)擊其中第四個文件夾后,可以看到文件夾中包含4個經(jīng)過壓縮的Apache Avro文件,總存儲數(shù)據(jù)有771 MB;其中最小的文件為89 MB,解壓完成后的文件原始大小為2 GB。
table=ics_cust_subscription”文件夾當(dāng)中的內(nèi)容
在解壓完成之后,可以看到這些文件屬于由道瓊斯客戶數(shù)據(jù)組成的四份大型文本日志,并可輕松將其導(dǎo)入數(shù)據(jù)庫以進(jìn)行內(nèi)部記錄與保存。在文本文件當(dāng)中填充的數(shù)據(jù)字段包括客戶姓名、道瓊斯內(nèi)部客戶ID、家庭與企業(yè)地址以及更多帳戶詳細(xì)信息,例如客戶注冊訂閱時(shí)享受的促銷優(yōu)惠。而最為關(guān)鍵的是,文件當(dāng)中還包含有客戶信用卡的最后四位數(shù)字,以及用于在線登錄其帳戶的電子郵箱地址。一小部分客戶的電話號碼甚至也被納入到文本當(dāng)中。
道瓊斯公司已經(jīng)證實(shí)稱,此次數(shù)據(jù)曝光總計(jì)影響到220萬名客戶。然而根據(jù)存儲庫的大小及組成進(jìn)行分析,UpGuard小組保守估計(jì)受影響客戶數(shù)量可能高達(dá)400萬,其中可能存在一部分重復(fù)訂閱情況。
另一個存儲在主目錄當(dāng)中的文件夾名為“rnc_watchlist“。盡管道瓊斯公司此前曾經(jīng)提供名為風(fēng)險(xiǎn)與合規(guī)監(jiān)控列表(Risk and Compliance Watchlist)產(chǎn)品,但該文件夾的標(biāo)題實(shí)際上指的可能是道瓊斯的反入侵?jǐn)?shù)據(jù)庫套件。該產(chǎn)品以道瓊斯旗下的“風(fēng)險(xiǎn)與合規(guī)”品牌進(jìn)行銷售,且號稱為用戶提供“面向流程、審查與調(diào)查的研究工具與外包服務(wù),幫助企業(yè)減輕與反洗錢、反賄賂、腐敗乃至經(jīng)濟(jì)制裁等規(guī)定相關(guān)的第三方風(fēng)險(xiǎn)“,從而“幫助企業(yè)更快評估第三方風(fēng)險(xiǎn)并建立起信心”。
此文件夾當(dāng)中包含21個用于具體解釋該數(shù)據(jù)集內(nèi)各項(xiàng)字段名稱的模式文件,外加一個名為djrc_ac_csv_201603312359_f的.csv文件。此.csv文件中包含160萬行個人或條目,同時(shí)亦囊括有對應(yīng)的別名、組織、業(yè)務(wù)以及主題背景及個人歷史信息。
風(fēng)險(xiǎn)與合規(guī)數(shù)據(jù)集中反復(fù)出現(xiàn)的幾類字段
此份列表還包括大量分布于全球各地的金融行業(yè)從業(yè)人員位置信息,以及眾多聲譽(yù)不良的政治黨派; 下圖所示為已故利比亞領(lǐng)導(dǎo)人卡扎菲的相關(guān)條目。
風(fēng)險(xiǎn)與合規(guī).csv文件當(dāng)中關(guān)于卡扎菲的相關(guān)條目
這組包含160萬條可疑人士及實(shí)體的數(shù)據(jù)與道瓊斯公司對其RiskReports以及RiskCenter等風(fēng)險(xiǎn)與合規(guī)工具作出的描述不謀而合,這些平臺能夠?yàn)橛脩籼峁┐嬖跐撛趩栴}的人士及組織的相關(guān)信息,幫助其避免與其產(chǎn)生往來。
重大意義此次云數(shù)據(jù)泄露事故再次凸顯出數(shù)字化風(fēng)險(xiǎn)領(lǐng)域中的幾大關(guān)鍵性難題,這在2017年的數(shù)字化發(fā)展當(dāng)中極具重大意義。
云存儲面臨的挑戰(zhàn)立足當(dāng)前,企業(yè)在配置當(dāng)中允許對云存儲信息進(jìn)行公開或者半公開訪問已經(jīng)成為一種非常常見的作法,而這顯然會將客戶的敏感數(shù)據(jù)暴露在不必要的風(fēng)險(xiǎn)之下。由此引發(fā)的濫用威脅真實(shí)存在,而隨著網(wǎng)絡(luò)惡意勢力的迅速發(fā)展,攻擊者完全能夠利用這些流出至網(wǎng)絡(luò)上的用戶信息為自身牟利。
盡管UpGuard小組尚不清楚在相關(guān)存儲庫關(guān)閉之前,是否已經(jīng)有惡意人士獲取到道瓊斯云存儲桶當(dāng)中的各項(xiàng)數(shù)據(jù),但事故的存在已經(jīng)為網(wǎng)絡(luò)犯罪分子的潛在惡意活動途徑指明了方向。無論是對于垃圾郵件發(fā)送方抑或是數(shù)字化營銷人員,此類包含客戶姓名、地址、電子郵箱地址以及部分電話號碼的信息都將極具現(xiàn)實(shí)意義,甚至可能引發(fā)極為惡劣的影響。
被泄露的數(shù)據(jù)常規(guī)利用方式:釣魚攻擊惡意軟件將自身偽裝為官方身份并借此說服用戶提供個人敏感信息的網(wǎng)絡(luò)釣魚行為當(dāng)前已然成為主流。
道瓊斯出版物擁有400萬訂閱用戶,相關(guān)信息的流出必然導(dǎo)致惡意人士借此部署新一輪網(wǎng)絡(luò)釣魚攻擊?!度A爾街日報(bào)》已經(jīng)開始發(fā)布官方電子郵件,提醒客戶其訂閱已經(jīng)失效或者帳戶已經(jīng)被盜用,而惡意人士也完全能夠借此機(jī)會利用類似的方式誘導(dǎo)這些高價(jià)值目標(biāo)提供其信用卡信息甚至是登錄憑證等等。
信用卡信息的重要性雖然此次信息泄露只涉及客戶信用卡的最后四位數(shù)字,但這同樣有可能造成重大損失。2015年出現(xiàn)的一項(xiàng)安全漏洞就允許惡意人士獲取大通銀行或者美國銀行信用卡的最后四位數(shù)字,將此與受害者的電話號碼相結(jié)合即可實(shí)現(xiàn)對帳戶的控制。
企業(yè)的安全意識影響事件響應(yīng)而最令人擔(dān)憂的仍然是道瓊斯公司領(lǐng)導(dǎo)層的回應(yīng)。雖然企業(yè)肯定不希望向客戶通告這樣的事故,但這樣處理的意義在于保證消費(fèi)者獲得相關(guān)數(shù)據(jù),進(jìn)而迅速阻止惡意人士的其它濫用行為。而道瓊斯諱莫如深的處理態(tài)度則只會讓情況適得其反。正如英國保險(xiǎn)公司The AA此前遭遇的狀況一樣。該公司曾于今年4月否認(rèn)其某臺服務(wù)器可供公開訪問,然而7月的調(diào)查證明這樣的說法根本站不住腳,且該公司超過10萬名客戶的財(cái)務(wù)信息因此遭到泄露。
而在此次云數(shù)據(jù)泄露事件當(dāng)中,道瓊斯方面的回應(yīng)同樣非常緩慢,這亦證明除了小型公司之外,世界知名的、甚至是掌控著上層金融世界統(tǒng)治權(quán)的巨頭企業(yè)同樣在處理客戶數(shù)據(jù)風(fēng)險(xiǎn)方面表現(xiàn)不力。總而言之,網(wǎng)絡(luò)風(fēng)險(xiǎn)問題可謂無處不在,其后果可能影響到世界范圍內(nèi)從鍋爐房到會議室的各類場景。
面對這樣的挑戰(zhàn),企業(yè)必須重新控制自身IT系統(tǒng),以確保有能力快速發(fā)現(xiàn)各類易于預(yù)防的錯誤。否則,必將承受成本高昂的數(shù)字資產(chǎn)泄露損失。