一家开曼群岛离岸银行的备份数据(涵盖5亿美元的投资组合)近日公开暴露，泄露信息包括个人银行业务信息、护照数据甚至在线银行PIN码。

由于使用Microsoft Azure Blob云服务时发生配置错误，这家开曼群岛投资公司(匿名)已删除多年的备份数据不但没有消失，反而直到事件曝光前都可以在线轻松获得。安全研究人员发现，一个Blob单一URL指向一个庞大的文件数据库，包括个人银行信息、护照数据，甚至是网上银行PIN码。数据泄露事件对于这家标榜匿名和保密的金融公司来说，无疑意味着一场公关灾难。

不仅是一场公关灾难

一位安全研究人员向科技媒体The Register透露，这家金融公司犯下了严重的网络安全错误，这家公司甚至压根没有(负责)网络安全的专业人才，接收安全研究人员警告的是一个仅有大学计算机科学背景的普通业务人员。

The Register的报道补充说，该公司的员工“完全不了解”Azure Blob的工作方式(Azure Blob是与Amazon Web Services S3等云存储解决方案竞争的云备份存储解决方案)，整个操作完全取决于外部IT提供商的网络安全性。

该公司员工在回应媒体采访时说：“这是我们在中国香港的IT供应商提供的备份解决方案，我们认为这是一种相当正常的云服务。显然这里有问题!”

据悉，泄露数据已被IT供应商移除。

ImmuniWeb的首席执行官、网络安全和法律专家Ilia Kolochenko表示，这家投资公司要准备面对数据泄露的灾难性后果。

Kolochenko表示：“大多数地区的司法部门都会将这一事件视为重大过失，其基金也将面临客户的一系列诉讼。过去，类似事件导致企业声誉受损，无法与受挫的客户继续合作，因此导致破产。对于已经泄露的数据，我们还期望负责起诉逃税或洗钱的各种执法机构对泄露文件进行调查。”

云配置错误与云服务品牌无关

无论使用何种品牌的云存储服务，最近几个月，错误配置的问题始终困扰着各种企业。

不久前，酒店预订平台Cloud Hospitality由于配置错误的Amazon Web Services S3存储服务而暴露了大约1000万人的数据。

基督教应用程序Pray.com也因为AWS S3配置错误暴露了其数千万客户的个人数据。

vpnMentor关于该漏洞的报告说：“通过进一步调查，我们了解到Pray.com已保护了一些文件，并将它们设置为存储桶中的私有文件以限制访问。但是，与此同时，Pray.com已将其S3存储桶与另一项AWS服务，即AWS CloudFront内容交付网络(CDN)集成在一起。Cloudfront允许应用程序开发人员将内容缓存在世界各地由AWS托管的代理服务器上，使数据更接近用户，而不必从应用程序的中心服务器加载这些文件。结果，即便CD3存储桶中的文件有单独的安全设置，未授权者都可以通过CDN间接查看和访问它们。”

Google Cloud用户也遇到了类似的云配置挑战。去年9月，Comparitech对2,064个Google Cloud Bucket进行了一项调查，结果发现6%的Google Cloud Bucket配置错误，面向公众暴露。

九成云存储存在配置错误

企业云安全最大的误区之一就是将安全性完全托付给云服务商或者第三方IT服务商。由于企业在新冠疫情中不得不迅速转移到远程工作环境，因此配置错误这种云安全漏洞正在变得越来越普遍，而网络犯罪分子显然也注意到了这一点。

根据Accuris去年春季的报告，受调查的云部署有93%存在配置错误，并且有二分之一的容器配置文件中存储了不受保护的凭据。

报告建议：“减少此类风险的唯一方法是在开发生命周期的早期检测、消除违反政策的行为，并确保安全地配置云原生基础架构。越来越多的组织采用基础架构代码(IaC)来定义和管理云原生基础架构，因此可以将策略检查(即策略编码)编入开发管道。”

研究人员警告说，保护云及其云中存储的敏感数据的安全，必须成为所有企业和机构的头等大事，以保护企业声誉和业务安全。

总结：数据上云先练好安全内功

大量企业和组织在没有对IT人员进行适当培训的情况下，就将数据盲目地转移到云中。最终，发生的数据泄露事故甚至比犯罪分子的蓄意破坏还要严重。更糟糕的是，网络罪犯分子已经充分意识到存在无数种错误配置的云实例，开始密切监视整个互联网，以获取唾手可得的成果。除非被媒体或安全专业人士报告，否则此类“被动攻击”是无法检测到的，也极其危险。企业的商业秘密和敏感数据可能会“突然”落入竞争对手、国家黑客和有组织犯罪团伙的手中。

【本文是51CTO专栏作者“安全牛”的原创文章，转载请通过安全牛（微信公众号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文