安全专家发现组态不当的服务器、云计算服务及存储系统,包括SMB文件共享、Amazon S3等,导致高达23亿份薪资、信用卡、医疗信息等极端机密信息公开于网络上,可能使用户遭身份滥用、恶意程序攻击或财务损失等风险。
安全厂商Digital Shadows的Photon研究小组,侦测到的曝光数据分布于SMB文件共享、组态不当的网络存储(NAS)设备、FTP与rsync服务器,以及Amazon S3存储贮体(bucket)。研究人员说,这次发现的曝险规模,要比去年4月发现的还要高出7.5亿份。
从泄密的服务类型来看,从SMB服务器曝险的数据比例最大,FTP及rsync服务器各占20%和16%。若以地区来看,美国受害最严重,有超过3.26亿份文件曝光,居次的法国和日本,则各以1.51亿及7,700万份文件分居欧亚之冠。
这些数据许多可不是普通信息,而是极敏感的数据,包括470万份医疗文件,如DICOM医疗图片档,其中的440万笔数据可能已经曝光。有些X光及扫瞄文件还附有患者个人姓名、出生日期与保险数据,可让黑客读取隐私信息、窃取身份、甚至从事网络犯罪。
研究人员还发现一家英国IT顾问公司让21万笔用户文件不慎曝光,其中包括用户全名及密码。另有个人用户存放照片、护照扫瞄档、银行明细单等信息的服务器,也公开于网络上。
这些数据不仅是曝光,有的更已经遭到黑客染指。研究人员发现有1,700万笔文件已被勒索软件加密,其中还有不少备份数据。而其中有200万份是遭到5月间肆虐的MegaLocker变种NamPoHyu的毒手。
不过安全公司也发现企业今年在数据管控表现上,比起去年也有所进步。例如去年11月Amazon推出Block Public Access功能后,使S3数据外泄的文件数由1,600万份降到2000份以下。此外,在GDPR上路后,荷兰及卢森堡数据曝光率也大幅减少。研究人员并指出,若缺乏良好的用户教育,再好的安全技术也是枉然。