Giữ dữ liệu ở vị trí có thể truy cập công cộng, nơi mọi người tìm kiếm, không phải là định nghĩa của sách giáo khoa về sự vi phạm dữ liệu phức tạp. Tuy nhiên, nhiều lần các nhà nghiên cứu bảo mật đã báo cáo về cáo buộc "vi phạm" dữ liệu của các tổ chức và đối tác của họ đã bị bỏ lại trong đám mây một cách có thể tiếp cận công khai.
Dịch Vụ Sửa Máy Đếm Tiền Tại Hà Nội [You must be registered and logged in to see this link.]
Nạn nhân vi phạm mới nhất là người khổng lồ viễn thông Verizon, đã vô tình tiết lộ thông tin về khoảng 6 triệu khách hàng đã được công bố trên một máy chủ ảo bởi công ty NICE Systems của họ. Các dữ liệu của Verizon bị rò rỉ đã được phát hiện bởi các nhà nghiên cứu làm việc với CyberRisk Đội UpGuard và được công khai tiết lộ vào ngày 12.
Theo UpGuard, Verizon đã tiết lộ lần đầu tiên rằng dữ liệu đám mây đã được tiết lộ vào ngày 13 tháng 6, với Verizon cuối cùng đã bảo mật dữ liệu vào ngày 22 tháng 6.
"Kho lưu trữ dữ liệu, một kho S3 của Amazon Web Services do một kỹ sư của NICE Systems đặt tại trụ sở Ra'anana, Israel của họ dường như đã được tạo ra để ghi lại các dữ liệu cuộc gọi của khách hàng cho các mục đích không rõ", UpGuard đã viết trong bản công bố. Verizon, nhà cung cấp dịch vụ không dây lớn nhất của quốc gia, sử dụng công nghệ NICE Systems trong các hoạt động tại văn phòng làm việc và trung tâm cuộc gọi ".
Đọc liên quan
Dịch Vụ Cứu Dữ Liệu Ổ Cứng Chết [You must be registered and logged in to see this link.]
Các công ty tốt nhất và tồi tệ nhất để giữ dữ liệu riêng tư
Báo cáo lỗi Bug Bounty Rising, Bugcrowd
IRS cảnh báo các chuyên gia về thuế của các cuộc tấn công lừa đảo
Symantec mua lại người bán hàng độc lập Fireglass
Nhà nghiên cứu bảo mật của UpGuard Chris Vickery được cho là đã phát hiện ra dữ liệu, được tìm thấy trong một kho lưu trữ đám mây SBS của Amazon Web Services (AWS). Theo UpGuard, kho dữ liệu S3 cho phép truy cập công cộng và cơ sở dữ liệu đã được truy cập đầy đủ chỉ đơn giản bằng cách nhập đúng địa chỉ web S3.
Verizon đã nói với CNN rằng không có mất mát hoặc trộm cắp thông tin khách hàng xảy ra như là kết quả của cơ sở dữ liệu có thể truy cập công cộng trên S3.
Verizon không phải là công ty đầu tiên để lại dữ liệu được phơi bày trên máy chủ đám mây. Vào tháng 6, Vickery báo cáo rằng thông tin cử tri từ Uỷ ban Quốc gia Đảng Cộng hòa đã bị đối tác Deep Root Analytics của họ tiết lộ. Đầu tháng này, đã có thông tin cho thấy công ty giải trí WWE đã để lại thông tin về hàng triệu người hâm mộ mở và tiếp xúc trên một cá thể AWS S3 công cộng.
Đơn giản chỉ cần đặt, nếu dữ liệu còn lại trên internet, có thể là trên máy chủ được lưu trữ chuẩn hoặc trong đám mây tại AWS hoặc bằng cách khác, nó có thể và sẽ được tìm thấy.
Một thập kỷ trước, các nhà nghiên cứu bảo mật đã sử dụng một phương pháp tấn công thông thường gọi là "Google Hacking", trong đó chỉ cần nhập các truy vấn tìm kiếm cụ thể sẽ mang lại kết quả dẫn đến dữ liệu không an toàn mà công cụ tìm kiếm đã lập chỉ mục. Trong kỷ nguyên đám mây, một thế hệ mới của các nhà nghiên cứu bảo mật đã sử dụng các công cụ khác nhau, bao gồm công cụ tìm kiếm Shodan phổ biến, để tìm thông tin không được bảo mật hoặc cấu hình đúng.
Đảm bảo đúng trong đám mây không phải là tất cả những gì khác nhau từ bảo mật dữ liệu bất cứ nơi nào khác. Nó bắt đầu với việc giới hạn quyền truy cập bằng một cách nào đó đối với những dịch vụ đó hoặc những người có thẩm quyền cần truy cập. Sử dụng đám mây để lưu dữ liệu không khác gì lưu trữ dữ liệu ở bất cứ nơi nào khác, và những người sử dụng S3 và các dịch vụ khác như vậy sẽ là khôn ngoan để ghi nhớ sự thật đó. Không có sự tối tăm trong đám mây, hoặc internet hiện đại; nếu dữ liệu không được đảm bảo với kiểm soát truy cập, mã hoá hoặc các thách thức xác thực, dữ liệu sẽ được tìm thấy cách này hay cách khác.
Dịch Vụ Khôi Phục Dữ Liệu Ổ Cứng [You must be registered and logged in to see this link.]
Rời một cơ sở dữ liệu mở mà không có bất kỳ kiểm soát truy cập hoặc kiểm tra xác thực không phải là một vi phạm dữ liệu hoặc bị rò rỉ; đó chỉ là sự cẩu thả đơn giản và đơn giản.
Dịch Vụ Sửa Máy Đếm Tiền Tại Hà Nội [You must be registered and logged in to see this link.]
Nạn nhân vi phạm mới nhất là người khổng lồ viễn thông Verizon, đã vô tình tiết lộ thông tin về khoảng 6 triệu khách hàng đã được công bố trên một máy chủ ảo bởi công ty NICE Systems của họ. Các dữ liệu của Verizon bị rò rỉ đã được phát hiện bởi các nhà nghiên cứu làm việc với CyberRisk Đội UpGuard và được công khai tiết lộ vào ngày 12.
Theo UpGuard, Verizon đã tiết lộ lần đầu tiên rằng dữ liệu đám mây đã được tiết lộ vào ngày 13 tháng 6, với Verizon cuối cùng đã bảo mật dữ liệu vào ngày 22 tháng 6.
"Kho lưu trữ dữ liệu, một kho S3 của Amazon Web Services do một kỹ sư của NICE Systems đặt tại trụ sở Ra'anana, Israel của họ dường như đã được tạo ra để ghi lại các dữ liệu cuộc gọi của khách hàng cho các mục đích không rõ", UpGuard đã viết trong bản công bố. Verizon, nhà cung cấp dịch vụ không dây lớn nhất của quốc gia, sử dụng công nghệ NICE Systems trong các hoạt động tại văn phòng làm việc và trung tâm cuộc gọi ".
Đọc liên quan
Dịch Vụ Cứu Dữ Liệu Ổ Cứng Chết [You must be registered and logged in to see this link.]
Các công ty tốt nhất và tồi tệ nhất để giữ dữ liệu riêng tư
Báo cáo lỗi Bug Bounty Rising, Bugcrowd
IRS cảnh báo các chuyên gia về thuế của các cuộc tấn công lừa đảo
Symantec mua lại người bán hàng độc lập Fireglass
Nhà nghiên cứu bảo mật của UpGuard Chris Vickery được cho là đã phát hiện ra dữ liệu, được tìm thấy trong một kho lưu trữ đám mây SBS của Amazon Web Services (AWS). Theo UpGuard, kho dữ liệu S3 cho phép truy cập công cộng và cơ sở dữ liệu đã được truy cập đầy đủ chỉ đơn giản bằng cách nhập đúng địa chỉ web S3.
Verizon đã nói với CNN rằng không có mất mát hoặc trộm cắp thông tin khách hàng xảy ra như là kết quả của cơ sở dữ liệu có thể truy cập công cộng trên S3.
Verizon không phải là công ty đầu tiên để lại dữ liệu được phơi bày trên máy chủ đám mây. Vào tháng 6, Vickery báo cáo rằng thông tin cử tri từ Uỷ ban Quốc gia Đảng Cộng hòa đã bị đối tác Deep Root Analytics của họ tiết lộ. Đầu tháng này, đã có thông tin cho thấy công ty giải trí WWE đã để lại thông tin về hàng triệu người hâm mộ mở và tiếp xúc trên một cá thể AWS S3 công cộng.
Đơn giản chỉ cần đặt, nếu dữ liệu còn lại trên internet, có thể là trên máy chủ được lưu trữ chuẩn hoặc trong đám mây tại AWS hoặc bằng cách khác, nó có thể và sẽ được tìm thấy.
Một thập kỷ trước, các nhà nghiên cứu bảo mật đã sử dụng một phương pháp tấn công thông thường gọi là "Google Hacking", trong đó chỉ cần nhập các truy vấn tìm kiếm cụ thể sẽ mang lại kết quả dẫn đến dữ liệu không an toàn mà công cụ tìm kiếm đã lập chỉ mục. Trong kỷ nguyên đám mây, một thế hệ mới của các nhà nghiên cứu bảo mật đã sử dụng các công cụ khác nhau, bao gồm công cụ tìm kiếm Shodan phổ biến, để tìm thông tin không được bảo mật hoặc cấu hình đúng.
Đảm bảo đúng trong đám mây không phải là tất cả những gì khác nhau từ bảo mật dữ liệu bất cứ nơi nào khác. Nó bắt đầu với việc giới hạn quyền truy cập bằng một cách nào đó đối với những dịch vụ đó hoặc những người có thẩm quyền cần truy cập. Sử dụng đám mây để lưu dữ liệu không khác gì lưu trữ dữ liệu ở bất cứ nơi nào khác, và những người sử dụng S3 và các dịch vụ khác như vậy sẽ là khôn ngoan để ghi nhớ sự thật đó. Không có sự tối tăm trong đám mây, hoặc internet hiện đại; nếu dữ liệu không được đảm bảo với kiểm soát truy cập, mã hoá hoặc các thách thức xác thực, dữ liệu sẽ được tìm thấy cách này hay cách khác.
Dịch Vụ Khôi Phục Dữ Liệu Ổ Cứng [You must be registered and logged in to see this link.]
Rời một cơ sở dữ liệu mở mà không có bất kỳ kiểm soát truy cập hoặc kiểm tra xác thực không phải là một vi phạm dữ liệu hoặc bị rò rỉ; đó chỉ là sự cẩu thả đơn giản và đơn giản.