伺服器、存儲、雲計算服務組態不當，23億份高敏感數據文件曝光

安全專家發現組態不當的伺服器、雲計算服務及存儲系統，包括SMB文件共享、Amazon S3等，導致高達23億份薪資、信用卡、醫療信息等極端機密信息公開於網路上，可能使用戶遭身份濫用、惡意程序攻擊或財務損失等風險。

安全廠商Digital Shadows的Photon研究小組，偵測到的曝光數據分布於SMB文件共享、組態不當的網路存儲（NAS）設備、FTP與rsync伺服器，以及Amazon S3存儲貯體（bucket）。研究人員說，這次發現的曝險規模，要比去年4月發現的還要高出7.5億份。

從泄密的服務類型來看，從SMB伺服器曝險的數據比例最大，FTP及rsync伺服器各佔20%和16%。若以地區來看，美國受害最嚴重，有超過3.26億份文件曝光，居次的法國和日本，則各以1.51億及7,700萬份文件分居歐亞之冠。

這些數據許多可不是普通信息，而是極敏感的數據，包括470萬份醫療文件，如DICOM醫療圖片檔，其中的440萬筆數據可能已經曝光。有些X光及掃瞄文件還附有患者個人姓名、出生日期與保險數據，可讓黑客讀取隱私信息、竊取身份、甚至從事網路犯罪。

研究人員還發現一家英國IT顧問公司讓21萬筆用戶文件不慎曝光，其中包括用戶全名及密碼。另有個人用戶存放照片、護照掃瞄檔、銀行明細單等信息的伺服器，也公開於網路上。

這些數據不僅是曝光，有的更已經遭到黑客染指。研究人員發現有1,700萬筆文件已被勒索軟體加密，其中還有不少備份數據。而其中有200萬份是遭到5月間肆虐的MegaLocker變種NamPoHyu的毒手。

不過安全公司也發現企業今年在數據管控表現上，比起去年也有所進步。例如去年11月Amazon推出Block Public Access功能後，使S3數據外泄的文件數由1,600萬份降到2000份以下。此外，在GDPR上路後，荷蘭及盧森堡數據曝光率也大幅減少。研究人員並指出，若缺乏良好的用戶教育，再好的安全技術也是枉然。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！