網絡安全公司UpGuard的網絡風險小組發布報告指出,由世界一流的商業財經信息提供商、新聞媒體出版集團道瓊斯公司持有的一套云文件存儲庫存在配置錯誤,且其中包含的來自數百萬家企業客戶的個人及財務敏感信息以半公開形式接受網絡訪問。盡管道瓊斯方面證實至少有220萬客戶受到影響,但根據UpGuard方面的計算,受影響客戶量可能接近400萬。
UpGuard網絡風險小組是一個致力于發現網絡數據泄露事故的單位,其負責保護敏感信息、防止潛在的濫用風險,以及提高公眾對于數字化時代之下影響數據安全性的各類風險問題的認知。
為何泄露?此次泄露的數據包括《華爾街日報》以及《巴倫周刊》在內的各道瓊斯公司出版物的數百萬名訂閱者的姓名、地址、帳戶信息、電子郵件地址以及信用卡后四位號碼。
另外,此次一同被暴露在云端的還有“道瓊斯風險與合規”系列數據庫當中的160萬條記錄,這些數據庫屬于一個僅供企業訂閱的情報項目,用以幫助各金融機構遵循法規以打擊洗錢活動。
此次暴露的數據存儲庫為一個Amazon Web Services S3存儲桶,管理人員通過權限設置將其配置為允許任何AWS“認證用戶”通過該存儲庫的URL進行數據下載。
根據Amazon方面給出的定義,所謂“認證用戶”是指“任何擁有Amazon AWS帳戶的用戶”,而AWS帳戶免費提供注冊。
此次云數據泄露事件說明不安全的數據管理機制會帶來持續威脅,而錯誤的安全設置則直接導致數百萬道瓊斯客戶的敏感信息被他人窺探。就此前成功實施攻擊的類似案例來說,這些暴露在云端的數據很可能被惡意人士所利用。
更為著急的是,道瓊斯公司對這一事故諱莫如深的態度更是致使數據遭遇曝光的客戶無法快速行動以保護自己的個人信息。
發現過程2017年5月30日晚,UpGuard網絡風險研究主管克里斯·維克里發現了一個采用“dj-skynet”子域名且可供AWS認證用戶訪問的Amazon S3云數據存儲庫。盡管存儲庫本身的標題與內容指明這部分數據很可能源自道瓊斯,這一點此后也得到了道瓊斯公司首席信息安全官的證實,但其中的“Skynet”——即天網,似乎是指《終結者二:審判日》電影中的毀滅性計算機系統。
今年6月1日,維克里開始下載該存儲庫中的內容,5天之后發現內容不再允許下載。
“dj-skynet“存儲庫當中包含數十個目錄,其中多個文件夾以”build_assets“、”development“、”customerlogin“以及”cust_subscription“等短語命名。在點擊其中第四個文件夾后,可以看到文件夾中包含4個經過壓縮的Apache Avro文件,總存儲數據有771 MB;其中最小的文件為89 MB,解壓完成后的文件原始大小為2 GB。
table=ics_cust_subscription”文件夾當中的內容
在解壓完成之后,可以看到這些文件屬于由道瓊斯客戶數據組成的四份大型文本日志,并可輕松將其導入數據庫以進行內部記錄與保存。在文本文件當中填充的數據字段包括客戶姓名、道瓊斯內部客戶ID、家庭與企業地址以及更多帳戶詳細信息,例如客戶注冊訂閱時享受的促銷優惠。而最為關鍵的是,文件當中還包含有客戶信用卡的最后四位數字,以及用于在線登錄其帳戶的電子郵箱地址。一小部分客戶的電話號碼甚至也被納入到文本當中。
道瓊斯公司已經證實稱,此次數據曝光總計影響到220萬名客戶。然而根據存儲庫的大小及組成進行分析,UpGuard小組保守估計受影響客戶數量可能高達400萬,其中可能存在一部分重復訂閱情況。
另一個存儲在主目錄當中的文件夾名為“rnc_watchlist“。盡管道瓊斯公司此前曾經提供名為風險與合規監控列表(Risk and Compliance Watchlist)產品,但該文件夾的標題實際上指的可能是道瓊斯的反入侵數據庫套件。該產品以道瓊斯旗下的“風險與合規”品牌進行銷售,且號稱為用戶提供“面向流程、審查與調查的研究工具與外包服務,幫助企業減輕與反洗錢、反賄賂、腐敗乃至經濟制裁等規定相關的第三方風險“,從而“幫助企業更快評估第三方風險并建立起信心”。
此文件夾當中包含21個用于具體解釋該數據集內各項字段名稱的模式文件,外加一個名為djrc_ac_csv_201603312359_f的.csv文件。此.csv文件中包含160萬行個人或條目,同時亦囊括有對應的別名、組織、業務以及主題背景及個人歷史信息。
風險與合規數據集中反復出現的幾類字段
此份列表還包括大量分布于全球各地的金融行業從業人員位置信息,以及眾多聲譽不良的政治黨派; 下圖所示為已故利比亞領導人卡扎菲的相關條目。
風險與合規.csv文件當中關于卡扎菲的相關條目
這組包含160萬條可疑人士及實體的數據與道瓊斯公司對其RiskReports以及RiskCenter等風險與合規工具作出的描述不謀而合,這些平臺能夠為用戶提供存在潛在問題的人士及組織的相關信息,幫助其避免與其產生往來。
重大意義此次云數據泄露事故再次凸顯出數字化風險領域中的幾大關鍵性難題,這在2017年的數字化發展當中極具重大意義。
云存儲面臨的挑戰立足當前,企業在配置當中允許對云存儲信息進行公開或者半公開訪問已經成為一種非常常見的作法,而這顯然會將客戶的敏感數據暴露在不必要的風險之下。由此引發的濫用威脅真實存在,而隨著網絡惡意勢力的迅速發展,攻擊者完全能夠利用這些流出至網絡上的用戶信息為自身牟利。
盡管UpGuard小組尚不清楚在相關存儲庫關閉之前,是否已經有惡意人士獲取到道瓊斯云存儲桶當中的各項數據,但事故的存在已經為網絡犯罪分子的潛在惡意活動途徑指明了方向。無論是對于垃圾郵件發送方抑或是數字化營銷人員,此類包含客戶姓名、地址、電子郵箱地址以及部分電話號碼的信息都將極具現實意義,甚至可能引發極為惡劣的影響。
被泄露的數據常規利用方式:釣魚攻擊惡意軟件將自身偽裝為官方身份并借此說服用戶提供個人敏感信息的網絡釣魚行為當前已然成為主流。
道瓊斯出版物擁有400萬訂閱用戶,相關信息的流出必然導致惡意人士借此部署新一輪網絡釣魚攻擊。《華爾街日報》已經開始發布官方電子郵件,提醒客戶其訂閱已經失效或者帳戶已經被盜用,而惡意人士也完全能夠借此機會利用類似的方式誘導這些高價值目標提供其信用卡信息甚至是登錄憑證等等。
雖然此次信息泄露只涉及客戶信用卡的最后四位數字,但這同樣有可能造成重大損失。2015年出現的一項安全漏洞就允許惡意人士獲取大通銀行或者美國銀行信用卡的最后四位數字,將此與受害者的電話號碼相結合即可實現對帳戶的控制。
企業的安全意識影響事件響應而最令人擔憂的仍然是道瓊斯公司領導層的回應。雖然企業肯定不希望向客戶通告這樣的事故,但這樣處理的意義在于保證消費者獲得相關數據,進而迅速阻止惡意人士的其它濫用行為。而道瓊斯諱莫如深的處理態度則只會讓情況適得其反。正如英國保險公司The AA此前遭遇的狀況一樣。該公司曾于今年4月否認其某臺服務器可供公開訪問,然而7月的調查證明這樣的說法根本站不住腳,且該公司超過10萬名客戶的財務信息因此遭到泄露。
而在此次云數據泄露事件當中,道瓊斯方面的回應同樣非常緩慢,這亦證明除了小型公司之外,世界知名的、甚至是掌控著上層金融世界統治權的巨頭企業同樣在處理客戶數據風險方面表現不力。總而言之,網絡風險問題可謂無處不在,其后果可能影響到世界范圍內從鍋爐房到會議室的各類場景。
面對這樣的挑戰,企業必須重新控制自身IT系統,以確保有能力快速發現各類易于預防的錯誤。否則,必將承受成本高昂的數字資產泄露損失。
京公網安備 11010502049343號