技術支援
文件
登錄
聯繫我們
數據洩露和網路安全漏洞
若昂·科雷亞
2023年6月14 日 - 技術佈道師
近年來,數據洩露和洩露已成為組織的重大風險,尤其是那些嚴重依賴雲服務來存儲和管理敏感數據的組織。涉及全球最大的汽車製造商豐田的一系列事件提醒人們,潛在的漏洞可能會暴露敏感的客戶數據,以及企業必須從此類事件中吸取的教訓。
一起來看看吧。
數據洩漏剖析
豐田捲入了一系列數據洩露事件,暴露了敏感的客戶數據,包括姓名、家庭住址、電話號碼、電子郵件地址、客戶 ID、車輛登記號和車輛識別號。這些事件揭示了幾個關鍵的網路安全漏洞。
在一個案例中,該公司披露了數據洩漏,因為開發人員無意中在GitHub上發佈了面向客戶的應用程式的原始程式碼,GitHub實際上是 在線代碼存儲庫。這次洩漏在大約五年內沒有引起注意,暴露了近30萬客戶的電子郵件地址和客戶管理號碼。洩露的原始碼還包含資料伺服器的訪問金鑰,允許未經授權存取儲存的客戶資料。
在另一起事件中,豐田承認在不到三周的時間內發生了第二次數據洩漏,這次是由於錯誤配置的雲服務意外設置為公共而不是私有。這種錯誤配置使超過 200 萬客戶端面臨風險,並且數據可能在 2016 年 10 月至 2023 年 5 月期間可訪問。
此外,豐田的印度業務披露了一起數據洩露事件,可能暴露了一些客戶的個人資訊,闡明瞭該公司網路安全挑戰的全球性質。
需要適當的安全審查
這些事件凸顯了對所有雲服務進行適當安全審查的迫切需要。雲供應商提供了強大的工具來存儲和管理數據,但不應僅僅因為資訊託管在雲上就自動將其視為安全。
保護雲環境的責任在於公司本身。這包括確保正確配置訪問控制,對靜態和傳輸中的數據進行加密,並確保監控系統到位以檢測任何未經授權的訪問或活動。
就豐田而言,人為錯誤導致其主要雲服務配置錯誤,使其公開多年。這強調了定期審核和審查雲配置的重要性,以確保它們安全並符合最佳實踐。
公開存儲原始程式碼的危險
豐田面向客戶的應用程式的原始程式碼在GitHub上發佈的事件也凸顯了將原始程式碼儲存在面向公眾的在線存儲庫中的危險。雖然GitHub和類似平臺對於協作和版本控制非常寶貴,但如果使用不當,它們也會暴露敏感數據。
每隔一天就會有關於無意中共用的秘密、密碼或令牌的故事,這些秘密、密碼或令牌被錯誤地留在原始程式碼中。即使將當前工具直接集成到GitHub中,機密仍然會定期發佈。毫不奇怪,惡意行為者也注意到了這一點,他們定期掃描新提交以查找此類發現。
在此事件中,已發佈的原始程式碼包含一個訪問密鑰,該金鑰允許未經授權存取資料伺服器,從而導致客戶數據暴露。這清楚地提醒我們,在公共存儲庫中發佈之前,公司必須確保其原始程式碼不包含任何敏感資訊,例如訪問密鑰或憑據。
建立高效的網路安全態勢
所有這些向量都會增加組織的風險狀況,在準備有效的網路安全態勢時必須考慮到這一點。公司必須採取積極主動的網路安全方法,包括定期審核其IT系統,持續監控可疑活動以及持續的員工培訓,以最大程度地降低人為錯誤的風險。如果不這樣做,或者將其降級為次要問題,類似於建造諾克斯堡,但將眾所周知的前門鑰匙*留在歡迎墊下。
同樣重要的是,公司要制定一個強大的事件回應計劃來管理任何確實發生的數據洩露。這應包括識別和遏制違規行為、調查其原因、通知受影響的客戶以及採取措施防止將來發生類似事件的步驟。
就豐田而言,該公司在事件發生后確實採取了一些積極措施。例如,它發表了道歉(我們不要忘記,數據洩露和洩漏導致的主要損害之一是聲譽和信任的喪失),並在第二次數據洩漏后實施了一個系統來監控雲配置。儘管如此,這些事件發生的事實表明,該公司的網路安全狀況仍有改進的餘地。
結論
豐田的一系列數據洩漏為所有組織提供了一個警示故事。在當今的數位世界中,每家公司都是網路犯罪分子的潛在目標 - 規模不是威脅行為者的決定性因素 - 保護數據的責任完全落在您的肩上。
通過識別 IT 系統中的潛在漏洞,對雲服務實施嚴格的安全審查,確保原始程式碼的安全處理,並採用主動的網路安全方法,您可以顯著降低風險狀況並保護客戶的敏感數據。
[* – 作者瞭解到,打開諾克斯堡的金銀存放處可能需要不止一套鑰匙,而且沒有足夠大的歡迎墊來隱藏這些鑰匙。這太誇張了。
