全文共2226字,阅读大约需5分钟。
一
摘要
用户访问控制机制配置不当和缺乏加密保护是导致2023年云存储桶数据泄露事件频发的主要原因。例如:
2023年2月,Cybernews研究团队发现ICICI银行因其系统使用了Digital Ocean的云存储服务,但并未正确配置存储桶的访问控制权限,导致银行泄露了360万个敏感文件,其中包含银行用户的详细信息、信用卡号、姓名、护照、出生日期、家庭住址、电话号码、电子邮件、银行对账单、现任员工和求职者简历等重要信息。
2023年5月12日,Toyota Connected Corporation(以下简称TC)宣布,丰田汽车公司外包给TC公司的部分数据因云环境设置不正确而遭到泄露。此次数据泄露事件影响约215万订阅丰田服务T-Connect、G-Link、G-Link Lite和G-BOOK的用户,泄露的信息包含车辆的位置信息、车辆在上述位置的时间以及车载终端ID和车辆识别号VIN,甚至包含2016年11月14日至2023年4月4日期间行车记录仪拍到的录像视频。
2023年9月,Wiz安全团队公布一起关于Microsoft AI研究团队的数据泄露事件,泄露数据总量达38TB,泄露数据包括 Microsoft 服务的密码、密钥以及Microsoft员工的30,000多条内部Microsoft Teams消息[15]。这起数据泄露事件的起因是Microsoft AI研究团队在Github中开源的一个人工智能模型—— robust-models-transfer。该模型被存储在Azure Blob中,Microsoft AI研究团队同时公开了一个用于下载数据的Azure 账户共享访问签名(SAS)令牌。由于该令牌权限配置错误,导致可以通过该令牌对除模型外的38TB敏感数据进行读、写操作。
此外,大量自建的镜像仓库和代码仓库并不安全。同样由于配置错误等原因,数以万计的自建仓库被暴露在互联网中,并且这些暴露的自建仓库均存在不同程度的敏感数据泄露风险。
本报告的云服务配置风险章节结合实际泄露案例由浅入深,详细分析了自建仓库以及存储桶的安全风险并给出了对应的安全建议。
二
自建容器镜像仓库敏感信息泄露分析
本报告对全球近两万个暴露在互联网上的主流自建镜像仓库进行了研究分析,其中Harbor仓库数据9042条,Docker Registry仓库数据7619条。如图1所示,测绘数据中超过10%的镜像仓库由于错误配置等原因导致其镜像可被直接拉取,其中Docker Registry仓库占比约66%,Harbor仓库占比34%,风险仓库的比例也大致和分析的样本数保持一致。但值得关注的是,仅十分之一的仓库便泄露了超过30000个的镜像,由此可见其影响之广泛。
图1 自建容器镜像泄露统计
同时,本报告对泄露的镜像进行了统计分析,如图2所示,绝大部分泄露的镜像中存储着不同程度的敏感信息。这些敏感信息大部分是业务源码,也有6%的账号口令信息,如果这些信息被攻击者利用,将会对关联组织和涉事人员造成较大的经济和名誉损失。
图2 镜像敏感情况
三
自建代码仓库敏感信息泄露分析
本报告对全球暴露的80578个主流自建代码仓库进行了研究分析,其中Gitblit数据占4114条,Gogs数据占13938条,Gitea数据占24318条,Gitlab数据占38208条。如图3所示,约16%的代码仓库存在未授权访问风险(Gitblit数据占40%,Gogs数据占20%,Gitea数据占16%,Gitlab数据占11%),这些风险可导致超过150000个源代码项目可被直接拉取。
图3 自建代码仓库泄露情况统计
报告进一步对这些泄露的源代码项目进行了研究分析,如图4所示,54%的源代码项目存在不同程度的敏感信息泄露。泄露的敏感信息中,91%为业务源代码,这些源码涉及政府、医疗、教育、金融、通信等各个行业;7%为身份证、银行卡号、手机号等其他敏感数据;2%为关键口令信息,这些口令涉及数据库、管理系统、自建仓库等各种关键应用和服务。
图4 自建代码仓库敏感数据情况统计
四
存储桶敏感信息泄露分析
本报告对2023年全球重大云安全事件进行了统计,由于错误配置所导致的云存储桶数据泄露事件大约占40%,这表明当前云存储桶的安全性仍然面临着严重的风险和挑战。报告结合具体泄露案例,从云存储桶访问策略和身份认证机制出发,由浅入深对泄露事件进行本因分析。
由于公有云存储桶服务本身的特殊性,相当一部分的存储桶中会存储着较多敏感信息,例如个人身份信息、金融数据、商业机密等。这些数据泄露不仅会损害个人隐私和商业利益,关联组织还可能承担声誉损失以及法律责任。
五
总结
绿盟科技星云实验室在公有云风险发现方向有着持续的研究,2021年开始我们已成体系地对外发布公有云安全风险报告,期望读者能通过报告了解、发现自己云上资产的暴露面和攻击面,以防范潜在攻击。本报告中我们也通过分享案例的形式,让读者可以更深刻的理解自建仓库的安全风险并给出了相应的安全加固措施建议,具体细节可参见《2023公有云安全风险分析报告》。
点击“阅读原文”查看报告完整版