《綠盟科技：2024上半年全球云上數據泄露風險分析報告（39頁）.pdf》由會員分享，可在線閱讀，更多相關《綠盟科技：2024上半年全球云上數據泄露風險分析報告（39頁）.pdf（39頁珍藏版）》請在三個皮匠報告上搜索。

1、關于綠盟科技綠盟科技集團股份有限公司（以下簡稱綠盟科技），成立于 2000年 4 月，總部位于北京。公司于 2014 年 1 月 29 日起在深圳證券交易所創業板 上市，證券代碼：300369。綠盟科技在國內設有 40 多個分支機構，為政 府、運營商、金融、能源、互聯網以及教育、醫療等行業用戶，提供全線網絡安全產品、全方位安全解決方案和體系化安全運營服務。公司在美國 硅谷、日本東京、英國倫敦、新加坡設立海外子公司，深入開展全球業務，打造全球網絡安全行業的中國品牌。版權聲明本文中出現的任何文字敘述、文檔格式、插圖、照片、方法、過程等內容，除另有特別注明，版權均屬綠盟科技所有，受到有關產權及版權法

2、保護。任何個人、機構未經綠盟科技的書面授權許可，不得以任何方式復制或引用本文的任何片斷。關于星云實驗室綠盟科技星云實驗室專注于云計算安全、云原生安全、解決方案研究與虛擬化網絡安全問題研究?；?IaaS 環境的安全防護，利用 SDN/NFV 等新技術和新理念，提出了軟件定義安全的云安全防護體系。承擔并完成多個國家、省、市以及行業重點單位創新研究課題，已成功孵化落地綠盟科技云安全解決方案、綠盟科技云原生安全解決方案。CONTENTS執行摘要1專業名詞解釋201云上數據泄露事件分類說明3022024 上半年全球云上數據泄露典型事件解讀52.1西班牙房屋租賃公司 EscapadaRural 泄露 3

3、00 萬客戶信息62.2在線詞典 Glosbe 泄露近 700 萬用戶數據92.3谷歌云服務 GoogleFirebase 泄露 1.25 億條用戶記錄112.4中國某公證處 1.9 萬公民信息、公正材料存在泄露風險122.5愛爾蘭出租車軟件公司 iCabbi 泄露近 30 萬乘客信息142.6巴西游戲開發公司AsanteeGames 泄露數百萬玩家信息152.7全球票務公司 Ticketmaster 泄露約 5.6 億用戶信息172.8中國某信息技術公司自建鏡像倉庫存在泄露風險202.9美國電信巨頭 AT&T 泄露約 1.1 億用戶電話記錄222.10豐田公司泄露 240GB 員工和客戶信息

4、24CONTENTS03安全建議263.1針對雜項錯誤的安全建議273.2針對系統入侵的安全建議283.3針對基礎 Web 應用攻擊的安全建議283.4其他建議2904總結3005參考文獻331重要觀察執行摘要近年來，隨著云計算技術的迅猛發展，企業在公有云和混合云環境中的業務部署顯著增加，隨之而來的云租戶及云環境安全風險也大幅提升，尤其是云上數據泄露風險持續攀升，許多企業因配置錯誤等問題發生了嚴重的數據泄露事件，引發了廣泛關注。綠盟科技創新研究院在云上風險發現和數據泄露領域已有多年深入研究，目前已發布了多篇報告，包括 2021綠盟科技網絡空間測繪年報 1、2022綠盟科技網絡空間測繪年報云上風

5、險測繪篇2 和2023 公有云安全風險分析報告3。2023 年，全球發生了多起云上數據泄露事件，例如，2023 年 2 月，由于配置錯誤，Digital Ocean 的對象存儲公開可訪問，導致印度跨國銀行的數百萬條數據泄露 4，2023 年 5 月，Toyota Connected 因云配置錯誤發生大規模數據泄露，泄露持續了多年 5。今年我們持續關注全球云上數據泄露風險態勢，本報告首先對 2024 上半年發生的云上數據泄露事件分類和映射的 ATT&CK 攻擊技術進行了具體說明，以便讀者易于理解后續內容。其次，我們對2024上半年全球發生的較大規模云上數據泄露風險和事件進行了詳細分析，據綠盟科技

6、創新研究院的統計，2024 年上半年全球發生了 16 起云上數據泄露事件，泄露總量約為 12 億公民隱私數據。在 16 起事件中，發生云上數據泄露事件最多的國家是美國，共發生 8 起，涉及泄露數據高達 10 億。行業方面，零售業泄露數據量最多，約 9.4 億條。事件原因方面，11 起事件是由雜項錯誤引起，造成約 2567 萬數據泄露；1 起事件是由 Web 應用攻擊引起，造成約 1.25 億數據泄露；4 起事件是由系統入侵引起，造成約 10.5 億數據泄露。本報告主要聚焦于事件成因分析。由于大多數事件成因相似，限于篇幅，我們選取了十起典型行業案例進行詳細說明，以展示云上數據泄露的整體態勢。最后

7、，根據事件背后的成因分析，我們針對性地提出了相應的安全建議。本報告旨在提升公眾對云上數據泄露的關注，并深入了解其背后成因，以便及時采取有效措施降低云上數據泄露風險，保護資產安全。22024 上半年全球云上數據泄露風險分析報告專業名詞解釋云上數據：泛指公有云、自建云、混合云、多云服務上運行的業務數據。ATT&CK：MITRE 在 2013 年 推 出 了 ATT&CK 模 型，全 稱 為 Adversarial Tactics,Techniques,and Common Knowledge(ATT&CK)，它是一個站在攻擊者的視角來描述攻擊中各階段用到的技術的模型 6。將已知攻擊者行為轉換為結構

8、化列表，將這些已知的行為匯總成戰術和技術，并通過幾個矩陣以及結構化威脅信息表達式(STIX)、指標信息的可信自動化交換(TAXII)來表示。事件分類：在云上數據泄露事件的視角下，事件分類可以幫助企業識別、分析和應對不同類型的數據泄露風險，典型的事件分類如基礎 Web 應用攻擊、拒絕服務攻擊、丟失或被竊取的資產等。云上數據泄露事件分類說明0142024 上半年全球云上數據泄露風險分析報告在對 2024 年上半年的云上數據泄露事件進行深入分析之前，我們首先歸納云上數據泄露事件的主要攻擊路徑和手法，并梳理云上數據泄露事件分類，有助于讀者在后續的具體事件分析章節中更好地理解事件成因與事件分類之間的對應

9、關系。關于事件分類，我們參考了 VERIZON 數據泄露報告 7 中的事件分類模式（Incident Classification Patterns）,其中包括以下八種模式：Basic Web Application Attacks：基礎 Web 應用攻擊，攻擊主要針對 Web 應用程序，攻擊范圍為邊界攻擊，未侵入系統內部進行額外操作。Denial of Service：拒絕服務攻擊，此類攻擊旨在破壞網絡和系統的可用性，包括網絡層和應用層攻擊。Lost and Stolen Assets：遺失和被盜竊的資產，包括由于誤放置或惡意行為而丟失的資產。Miscellaneous Errors：雜項類

10、錯誤，涵蓋因無意行為直接危及信息資產安全性的事件。但不包括丟失設備，這類行為應歸類為盜竊。Privilege Misuse：特權濫用，此類攻擊主要指未經授權或惡意使用合法權限所導致的行為。Social Engineering：社會工程學，此類攻擊涉及對人的心里操控，誘使受害者采取某種行為違反保密性。System Intrusion：系統入侵，指相對復雜的攻擊，如利用惡意軟件和黑客技術實現目標。Everything Else：其他項，泛指不符合以上 7 種分類模式范圍的事件類型。關于云上攻擊路徑及其涉及的具體技術，我們引用了 MITRE ATT&CK 矩陣1，在接下來的章節中，我們將從多個維度對

11、具體事件進行深入解讀,包括：事件時間、泄露規模、事件回顧、事件分析、VERIZON 事件分類以及所使用的 MITRE ATT&CK 技術，這些維度將幫助我們更全面地理解云上攻擊的特征與趨勢。1https:/attack.mitre.org/022024 上半年全球云上數據泄露典型事件解讀62024 上半年全球云上數據泄露風險分析報告2.1 西班牙房屋租賃公司 Escapada Rural 泄露 300 萬客戶信息事件時間：2024 年 1 月 8 日泄露規模：約 290 萬客戶的個人信息，包含姓名、電子郵件地址、電話號碼等事件回顧：2024 年 1 月 8 日，Cybernews 研究團隊發現

12、一個允許任意用戶訪問的 Amazon S3 對象存儲服務，并定位到該服務歸屬于西班牙一家提供房屋租賃服務的公司Escapada Rural。該對象存儲服務中的一個 CSV 文件中有約 290 萬客戶信息，包含姓名、電子郵件地址、性別、出生日期和電話號碼等。另外，該 S3 對象存儲中還包含一個數據庫備份文件，但其中信息并不太敏感，多是一些來自 booking 和其他平臺的房產列表信息。Cybernews 研究團隊進一步研究發現，他們并不是第一個發現該暴露服務的。2023 年7 月，不法分子 louhunter 已將該數據集發布在 BreachForums 論壇1進行售賣。而 Escapada R

13、ural 在這六個月期間并未發現數據泄露問題。1https:/breachforums.st/72024 上半年全球云上數據泄露典型事件解讀圖 1 S3 對象存儲中的敏感信息事件分析：Amazon S3 是亞馬遜云提供的一項對象存儲服務，它提供了可配置的安全性、數據保護、合規性和訪問控制功能保護用戶的數據安全 8。但是對于對象存儲服務的訪問，Amazon 并未強制要求配置訪問控制策略，用戶仍可以配置對象存儲服務的公開訪問。導致此次數據泄露事件的主要原因是服務配置錯誤。Escapada Rural 公司未對其使用的Amazon S3 對象存儲服務配置安全的訪問控制策略，可能導致任何人均可公開訪問

14、該對象存儲服務，包含惡意攻擊者。VERIZON 事件分類：Miscellaneous Errors（雜項錯誤）82024 上半年全球云上數據泄露風險分析報告所用 MITRE ATT&CK 技術：技術子技術利用方式T1593 搜索開放網站/域.002 搜索引擎攻擊者可能利用網絡空間搜索引擎進行情報收集。T1133 外部遠程服務N/A攻擊者識別暴露服務中的 Amazon S3 對象存儲服務。T1587 開發功能.004 利用工具攻擊者開發對暴露服務進行安全測試的工具。T1530 云存儲中的數據N/A攻擊者訪問 Amazon S3 對象存儲服務的數據。T1567 通過 Web 服務外泄N/A攻擊者可

15、能利用 Web 服務進行數據竊取。參考鏈接：https:/ 上半年全球云上數據泄露典型事件解讀2.2 在線詞典 Glosbe 泄露近 700 萬用戶數據事件時間：2024 年 3 月 7 日泄露規模：700 萬用戶個人數據、加密密碼、社交媒體賬號及其他信息事件回顧：2023 年 12 月，Cybernews 研究團隊發現一個互聯網中能夠公開訪問的 MongoDB 數據庫服務，該服務中包含近700萬用戶的個人數據、加密密碼、社交媒體標識符和其他詳細信息。通過分析，Cybernews 研究團隊定位到該服務歸屬于 Glosbe 在線詞典，它號稱支持世界上所有語言。Cybernews 研究團隊于當月聯

16、系了 Glosbe 官方人員通報此次事件。雖然 Glosbe 并未對此進行正面回復，但涉事 MongoDB 服務已被關閉。2024 年 3 月，Cybernews 研究團隊在官方 Blog 中發布了該事件說明。圖 2 Mongo 數據實例截圖事件分析：MongoDB 是一種面向文檔的數據庫系統，廣泛用于處理非結構化數據 9。MongoDB 社102024 上半年全球云上數據泄露風險分析報告區版的默認配置不會啟用訪問控制和身份驗證機制，這意味著數據庫在安裝后，如果沒有進一步進行安全配置，數據庫里的數據將公開給所有可以訪問的人。導致此次數據泄露事件的主要原因是服務配置錯誤，包含以下兩點：1.未設置

17、訪問控制列表（ACL），使得任何人可以通過公開的 IP 地址訪問。2.未啟用認證機制，使得任何可以訪問數據庫的人可以操作數據庫中的數據。這些配置錯誤讓攻擊者能夠輕松使用掃描工具發現并訪問未保護的數據庫實例，從而竊取其中的敏感信息。VERIZON 事件分類：Miscellaneous Errors（雜項錯誤）所用 MITRE ATT&CK 技術：技術子技術利用方式T1593 搜索開放網站/域.002 搜索引擎攻擊者可能利用網絡空間搜索引擎進行情報收集。T1133 外部遠程服務N/A攻擊者識別暴露服務中的 MongoDB 服務。T1587 開發功能.004 利用工具攻擊者開發對 MongoDB 服

18、務進行安全測試的工具。T1530 云存儲中的數據N/A攻擊者訪問 MongoDB 服務的數據。T1567 通過 Web 服務外泄N/A攻擊者可能利用 Web 服務進行數據竊取。參考鏈接：https:/ 上半年全球云上數據泄露典型事件解讀2.3 谷歌云服務 Google Firebase 泄露 1.25 億條用戶記錄事件時間：2024 年 3 月 18 日泄露規模：數百個網站暴露了總計約 1.25 億條用戶記錄事件回顧：2024 年 3 月 18 日，三位獨立安全研究員發表了一篇帖子，稱他們掃描了 5.5 萬個網站中的 JavaScript 代碼，發現超 900 個 Google Firebas

19、e 憑證信息，可能導致近 1.25 億條用戶信息泄露，包括明文密碼、賬單等敏感信息。之后，三位安全研究員在13天內共計給受影響的網站運營者發送了842 封電子郵件。其中，85%電子郵件已送達，9%電子郵件被退回。不久之后，約 24%的網站修復了該問題。其中，約1%的網站運營者進行了郵件回復，0.2%網站運營者給三位安全研究員提供了漏洞賞金。事件分析：Google Firebase1是一項由 Google 提供的云服務，通過提供實時數據庫、認證、云存儲、云函數、推送通知等一系列工具和服務，幫助開發者構建高質量的應用程序 10。雖然Google Firebase 提供了完善、可擴展安全規則，用于保

20、護用戶在 Cloud Firestore、Firebase Realtime Database 和 Cloud Storage 中存儲的數據，但它并不會對用戶配置的不安全規則進行告警，如“允許所有人訪問”。導致此次數據泄露事件的一個原因是由于開發者在網站開發過程中硬編碼了明文 Google Firebase 憑證，且未安全、合理地設置憑證的訪問策略，導致攻擊者能夠輕易使用這些憑證達到目的。除此之外，這些開發者也并未對其網站設置健全的反爬蟲機制，容易遭受爬蟲程序的分析。VERIZON 事件分類：Basic Web Application Attacks（基礎 Web 應用攻擊）所用 MITRE

21、ATT&CK 技術：技術子技術利用方式T1593 搜索開放網站/域.002 搜索引擎攻擊者可能利用網絡空間搜索引擎進行情報收集。T1587 開發功能.004 利用工具攻擊者開發用于收集 Google Firebase 憑證的工具。T1133 外部遠程服務N/A攻擊者利用工具掃描網站、js 中的憑證。T1588 獲得能力.002 工具攻擊者使用已有工具對憑證進行安全測試。T1078 有效賬戶.004 云賬戶攻擊者利用云賬戶進行服務訪問。T1530 云存儲中的數據N/A攻擊者訪問 Google Firebase 中的數據。T1567 通過 Web 服務外泄N/A攻擊者可能利用 Web 服務進行數據

22、竊取。參考鏈接：https:/env.fail/posts/firewreck-1/1https:/ 上半年全球云上數據泄露風險分析報告2.4 中國某公證處 1.9 萬公民信息、公正材料存在泄露風險事件時間：2024 年 3 月 28 日泄露規模：1.9 萬公民信息、公正材料事件回顧：2023 年 3 月，綠盟科技創新研究院發現一個部署在阿里云上的 Gogs 源代碼倉庫，且未存在任何訪問控制策略和身份認證機制。該源代碼倉庫的所有源代碼項目可被任意訪問和下載。部分源代碼中包含數據庫、對象存儲服務憑證，導致超 1.9 萬敏感信息存在泄露風險，包含公民信息（身份證、姓名、地址等）、公正委托書、詢問筆

23、錄等存在泄露風險。研究員通過技術手段定位到該鏡像倉庫的歸屬組織機構為國內公證機構后，第一時間將此情報通報給該公司屬地監管單位，并協助監管單位對涉事公司存在的數據泄露風險進行治理。圖 3 Gogs 泄露敏感數據截圖事件分析：Gogs 是一款極易搭建的自助 Git 服務。Gogs 旨在打造一個以最簡便的方式搭建簡單、穩定和可擴展的自助 Git 服務 11。Gogs 支持多種授權認證方式：LDAP-BindDN、LDAP-simple auth、PAM、SMTP 及 Freeipa。但若未在 Gogs 啟動時配置相關授權認證文件，則Gogs 是存在未授權訪問的。只要互聯網可達，任何人都可以對 Gog

24、s 進行訪問，查看其中的源代碼項目。導致此次事件的原因主要有三點，第一，所使用搭建代碼倉庫的云服務器未設置網絡相關的訪問控制策略；第二，未開啟 Gogs 代碼倉庫的授權認證機制；第三，源代碼項目配置文件中硬編碼了明文重要憑證。最終，導致該公證處多個后端系統源代碼、公民信息、公正132024 上半年全球云上數據泄露典型事件解讀材料存在泄露風險。VERIZON 事件分類：Miscellaneous Errors（雜項錯誤）所用 MITRE ATT&CK 技術：技術子技術利用方式T1593 搜索開放網站/域.002 搜索引擎攻擊者可能利用網絡空間搜索引擎進行情報收集。T1133 外部遠程服務N/A攻

25、擊者識別暴露服務中的 Gogs 源代碼服務。T1587 開發功能.004 利用工具攻擊者開發對暴露服務進行安全測試的工具，以及憑證識別工具。T1552 不安全憑證.001 文件中的憑證攻擊者識別源代碼中的硬編碼的憑證信息。T1078 有效賬戶.004 云賬戶攻擊者利用云賬戶進行服務訪問。T1530 云存儲中的數據N/A攻擊者訪問數據庫、對象存儲服務的數據。T1567 通過 Web 服務外泄N/A攻擊者可能利用 Web 服務進行數據竊取。142024 上半年全球云上數據泄露風險分析報告2.5 愛爾蘭出租車軟件公司 iCabbi 泄露近 30 萬乘客信息事件時間：2024 年 4 月 11 日泄露

26、規模：30 萬名出租車乘客的個人信息，包括姓名、電話號碼、電子郵件地址和用戶 ID事件回顧：2024年4月，VPNMentor1的安全研究員Jeremiah Fowler發現一個未設置密碼的數據庫，其中包括乘客的姓名、電子郵件和電話號碼等個人詳細信息。經 Fowler 分析確認，該數據庫屬于愛爾蘭出租車軟件公司 iCabbi2。值得關注的是，被泄露的乘客涉及高級 BBC 主管、記者、英國政府官員及歐盟大使等重要人員。隨后，Fowler 就風險情況通知了 iCabbi，該公司承認此次事件，并表示已采取措施并通知了受影響的出租車公司，但未透露是否有實際損失發生。Fowler 提醒用戶警惕來自出租車

27、服務提供商的網絡釣魚攻擊和可疑郵件，尤其是當攻擊者掌握了敏感的聯系信息和電話時，可能會利用這些信息進行更加針對性的攻擊。事件分析：由于事件披露的信息中并未提及關于數據庫的更多信息，我們無法做更多的分析。但其原因和事件 2 在線詞典 Glosbe 泄露近 700 萬用戶數據事件相似，均是由于未限制數據庫訪問范圍，從而使資產公開暴露于互聯網，導致敏感數據被泄露，此處不再贅述。VERIZON 事件分類：Miscellaneous Errors（雜項錯誤）所用 MITRE ATT&CK 技術：技術子技術利用方式T1593 搜索開放網站/域.002 搜索引擎攻擊者可能利用網絡空間搜索引擎進行情報收集。T

28、1133 外部遠程服務N/A攻擊者識別暴露服務中的數據庫服務。T1587 開發功能.004 利用工具攻擊者開發對數據庫服務進行安全測試的工具。T1530 云存儲中的數據N/A攻擊者訪問數據庫服務的數據。T1567 通過 Web 服務外泄N/A攻擊者可能利用 Web 服務進行數據竊取。參 考 鏈 接：https:/www.independent.ie/business/technology/personal-information-of-287000-taxi-passengers-exposed-in-data-breach/a355367209.html1https:/ 上半年全球云上數據泄

29、露典型事件解讀2.6 巴西游戲開發公司 Asantee Games 泄露數百萬玩家信息事件時間：2024 年 4 月 21 日泄露規模：超過 1400 萬名玩家的個人數據，包括用戶名、電子郵件、設備數據、游戲統計信息及加密的管理員憑證事件回顧：Asantee Games1是一家成立于 2012 年的小型游戲開發工作室。該公司的Magic Rampage 游戲在Android和iOS平臺上的下載量超過1000萬次。Cybernews研究團隊發現，該公司發生了一次嚴重的數據泄露事件，該事件影響了超過 1400 萬名Magic Rampage游戲玩家。泄露的數據包括玩家的用戶名、電子郵件、設備數據、

30、游戲統計信息和管理員憑證等敏感信息。隨后，Cybernews 研究團隊將該事件通知了 Asantee Games，雖然該公司反饋已立即采取措施保護數據庫，但已泄露的數據可能對用戶產生較大影響。圖 4 泄露的數據樣本事件分析：MongoDB 是一種面向文檔的數據庫系統，廣泛用于處理非結構化數據。MongoDB 社區版的默認配置不會啟用訪問控制和身份驗證機制，這意味著數據庫在安裝后，如果沒有進一步進行安全配置，數據庫里的數據將公開給所有可以訪問的人。1https:/.br/162024 上半年全球云上數據泄露風險分析報告本次 Asantee Games 的泄露事件中，同樣是由于配置錯誤所導致，由于

31、未配置合理的訪問控制策略，因而導致攻擊者能夠輕松使用掃描工具發現并訪問未保護的數據庫實例，從而竊取包含玩家用戶名、電子郵件、設備數據、游戲統計信息及管理員憑證在內的大量敏感信息。VERIZON 事件分類：Miscellaneous Errors（雜項錯誤）所用 MITRE ATT&CK 技術：技術子技術利用方式T1593 搜索開放網站/域.002 搜索引擎攻擊者可能利用網絡空間搜索引擎進行情報收集。T1133 外部遠程服務N/A攻擊者識別暴露服務中的 MongoDB 服務。T1587 開發功能.004 利用工具攻擊者開發對 MongoDB 服務進行安全測試的工具。T1530 云存儲中的數據N/

32、A攻擊者訪問 MongoDB 服務的數據。T1567 通過 Web 服務外泄N/A攻擊者可能利用 Web 服務進行數據竊取。參考鏈接：https:/ 上半年全球云上數據泄露典型事件解讀2.7 全球票務公司 Ticketmaster 泄露約 5.6 億用戶信息事件時間：2024 年 5 月 28 日泄露規模：約 5.6 億用戶個人信息，包括姓名、電子郵件地址、付款信息和購票歷史記錄事件回顧：2024 年 5 月 28 日，Hackread1報道了一起涉及 Ticketmaster2的嚴重數據泄露事件，如圖 5 所示，Ticketmaster 約 5.6 億用戶的身份信息被黑客組織 ShinyHu

33、nters3在 BreachForum上以50萬美元的價格一次性出售。這些被出售的信息主要涉及大量用戶敏感信息（姓名、地址、郵件地址、電話）、門票、活動詳情、訂單信息（姓名、卡號后四位數字、有效期）等。圖 5 在暗網上售賣的 Ticketmaster 相關信息2023 年 5 月 31 日，Ticketmaster 的母公司 Live Nation Entertainment 在向美國證券交易委員會（SEC）提交的一份文件中確認 12，其第三方云上數據庫環境于 5 月 20 日遭遇了1https:/ 上半年全球云上數據泄露風險分析報告大量未授權訪問。這一事件主要涉及 Ticketmaster

34、LLC 的公司數據。盡管該事件的潛在影響被認為對公司業務不大，但 Live Nation 仍表示將持續評估相關風險并采取補救措施。Ticketmaster 在其官方網站上發表了聲明，重申用戶的 Ticketmaster 賬戶是安全的，并強調此次數據泄露源自第三方數據服務供應商。泄露的數據庫包含北美（包括美國、加拿大和墨西哥）活動門票購買者的客戶信息 13。Ticketmaster 表示，他們正在通過電子郵件或書面形式通知受影響的客戶，并與執法部門及銀行合作進行調查。此外，為了保護客戶數據安全，Ticketmaster 承諾為相關客戶提供 12 個月的免費身份監控服務。Ticketmaster

35、聲稱他們正在郵件或者書面通知受影響的客戶，并與執法部門、銀行進行合作調查。同時，Ticketmaster 承諾將為相關客戶免費提供 12 個月的身份監控服務，以保護客戶數據安全。雖然 Live Nation 和 Ticketmaster 在回應中沒有明確指出具體的第三方公司，但據Hackread 的跟蹤報道，涉及的公司可能是 Snowflake Inc.14。Snowflake 是一家提供 SaaS化數據庫服務的公司，為超過 1 萬家公司提供服務1。Snowflake 隨后在官方網站上發表了聲明，澄清此次數據泄露與其產品本身無關，并持續進行更新 15。事件分析：根據 Mandiant 分享的

36、Snowflake 攻擊調查文章，數據泄露事件的根本原因被認定為憑證泄露 16。報告顯示，在這次數據泄露中，超過 79.7%的 Snowflake 客戶憑證曾被各種信息竊取軟件盜取，涉及的惡意軟件包括 VIDAR、RISEPRO、REDLINE、RACOON STEALER、LUMMA 和 METASTEALER 等。Mandiant 的調查還發現，一名 Snowflake 前雇員的個人憑證被竊取，攻擊者利用該憑證訪問了 Snowflake。然而，Snowflake 聲明該賬戶用于測試，且不含敏感數據，與此次數據泄露事件無關聯。這些被植入惡意軟件的設備通常來自 Snowflake 的客戶或外包

37、公司的服務系統。如圖 6 所示，如果 Snowflake 未啟用多因素身份驗證，攻擊者（UNC5537）可以通過被盜的憑證直接登錄到Snowflake，對數據實施盜竊。一般而言，攻擊者在獲取Snowflake憑證后，可以通過匿名 VPS 上的 SnowSight（可視化界面）或 SnowSQL（命令行工具）連接客戶的Snowflake 實例。此外，他們甚至可以分析和收集數據中的其他認證口令，以獲取更多敏感1https:/ 上半年全球云上數據泄露典型事件解讀信息或實施更進一步的攻擊。圖 6 Snowflake 攻擊路徑示意圖VERIZON 事件分類：System Intrusion(系統入侵）所

38、用 MITRE ATT&CK 技術：技術子技術利用方式T1589 收集受害者身份信息.002 電子郵件地址攻擊者可能利用社交媒體或網絡引擎引擎收集受害者電子網郵件地址。T1566 網絡釣魚.001 魚叉式網絡釣魚-附件.002 魚叉式網絡釣魚-鏈接攻擊者定向發送偽裝的惡意附件或者執行惡意程序的連接。T1204 用戶執行.001 惡意連接.002 惡意文件誘使受害者執行惡意文件或者點擊惡意鏈接。T1087 賬號發現.004 云賬戶通過惡意程序獲取受害者本地信息，發現 Snowflake 憑證T1078 有效賬戶.004 云賬戶通過惡意程序竊取 Snowflake 憑證，使用 Snowflake

39、憑證登錄Snowflake 服務。T1041 通過 C2 通道進行數據外泄N/A攻擊者可能通過現有的命令和控制通道竊取數據。參考鏈接：https:/ 上半年全球云上數據泄露風險分析報告2.8 中國某信息技術公司自建鏡像倉庫存在泄露風險事件時間：2024 年 5 月 23 日泄露規模：18 萬公民信息，包含姓名、身份證、電話、工作單位等。事件回顧：2023 年 5 月 23 日，綠盟科技創新研究院發現一個部署在阿里云上的 Harbor 鏡像倉庫存在未授權訪問的鏡像。能夠訪問的鏡像文件中包含數據庫、對象存儲服務憑證，導致超 18萬公民敏感信息存在泄露風險，包含姓名、身份證、電話、工作單位等。研究員

40、通過技術手段定位到該鏡像倉庫的歸屬組織機構為國內某信息技術公司后，第一時間將此情報通報給該公司屬地監管單位，并協助監管單位對涉事公司存在的數據泄露風險進行治理。圖 7 倉庫泄露的泄露敏感數據截圖事件分析：Harbor 是一個開源的企業級 Docker Registry 管理項目，由 VMware 公司開源 17。Harbor 提供了集中式的鏡像管理、安全性控制、鏡像復制等功能，幫助用戶更好地管理和存儲 Docker 鏡像。雖然 Harbor 有完整的訪問控制機制，但若使用者將鏡像項目設置為公開，則任意用戶可以對其進行訪問和拉取。這是 Harbor 官方承認的特性之一，許多安全意識不足的開發者容

41、易導致鏡像泄露風險。導致此次事件的原因主要有三方面：212024 上半年全球云上數據泄露典型事件解讀首先，所使用搭建鏡像倉庫的云服務器未設置網絡相關的訪問控制策略；其次，該鏡像倉庫中存在被設置為公開的鏡像項目；最后，該鏡像文件系統中的配置文件中硬編碼了明文數據庫的配置信息，從而導致該信息技術公司多個后端系統源代碼、數據庫配置信息、公民信息存在泄露風險。VERIZON 事件分類：Miscellaneous Errors（雜項錯誤）所用 MITRE ATT&CK 技術：技術子技術利用方式T1593 搜索開放網站/域.002 搜索引擎攻擊者可能利用網絡空間搜索引擎進行情報收集。T1133 外部遠程服

42、務N/A攻擊者識別暴露服務中的 Harbor 鏡像服務。T1587 開發功能.004 利用工具攻擊者開發對暴露服務進行安全測試的工具，以及憑證識別工具。T1552 不安全憑證.001 文件中的憑證攻擊者識別鏡像中的硬編碼的憑證信息。T1078 有效賬戶.004 云賬戶攻擊者利用賬戶進行數據庫服務訪問。T1530 云存儲中的數據N/A攻擊者訪問數據庫存儲服務的數據。T1567 通過 Web 服務外泄N/A攻擊者可能利用 Web 服務進行數據竊取。222024 上半年全球云上數據泄露風險分析報告2.9 美國電信巨頭 AT&T 泄露約 1.1 億用戶電話記錄事件時間：2024 年 7 月 12 日泄

43、露規模：約 1.1 億用戶的電話記錄，包括通話記錄、短信記錄及位置數據。事件回顧：2024年7月12日，TechCrunch1發表文章稱美國電話公司AT&T2發生嚴重數據泄露事件，攻擊者幾乎竊取了 2022 年 5 月 1 日至 2022 年 10 月 31 日以及 2023 年 1 月 2 日所有 AT&T客戶的電話記錄。泄露的數據包括雙方的電話號碼、通話時長、基站 ID 等敏感信息，但不含通話內容和短信內容。AT&T 表示，其已于 4 月 19 日發現了此次數據泄露事件，隨即聘請網絡安全專家展開調查并上報了監管機構。AT&T 表示本次事件與 3 月份的數據泄露事件 18 無關，發言人Hug

44、uely 向 TechCrunch 透露，此次泄露的數據是從 Snowflake 上竊取的。AT&T 就此次數據泄露事件在其官網上進行了公示 19，文中表示，泄露的客戶數據來源于第三方云平臺的非法下載，目前這些被盜的數據尚未公開，他們正在與執法部門合作以逮捕涉案罪犯。AT&T 特別表明，當前抓捕行動已經取得進展，至少一名罪犯已經被捕。事件分析：由于對國家安全或公共安全存在潛在風險，此次數據泄露事件 AT&T 沒有披露更多細節。但這是繼事件七 全球票務公司 Ticketmaster 泄露約 5.6 億用戶信息和美國汽車售后零部件供應商 Advance Auto Parts 在 Snowflake

45、 內存儲的數據被盜事件 20、QuoteWizard 在Snowflake 中存儲的數據被竊取事件 21 之后又一起由于 Snowflake 憑證泄露導致的數據泄露事件，特別是 Advance Auto Parts 事件泄露了 3.8 億份客戶資料，影響范圍之廣泛，令人擔憂。由此看來，Snowflake 數據被盜似乎已屢見不鮮。攻擊者利用先前購買或竊取的憑證，直接登錄了未開啟多因素認證的 Snowflake 賬號，并竊取了其中的用戶數據。值得欣慰的是，Snowflake 在最近的申明中表示，其正在制定一項計劃，強制客戶實施高級安全控制，如多因素身份驗證(MFA)或網絡策略等 15。VERIZO

46、N 事件分類：System Intrusion(系統入侵）所用 MITRE ATT&CK 技術：1https:/en.wikipedia.org/wiki/TechCrunch2https:/ 上半年全球云上數據泄露典型事件解讀技術子技術利用方式T1589 收集受害者身份信息.002 電子郵件地址攻擊者可能利用社交媒體或網絡引擎收集受害者電子網郵件地址。T1566 網絡釣魚.001 魚 叉 式 網 絡 釣魚-附件.002 魚叉式網絡釣魚-鏈接攻擊者定向發送偽裝的惡意附件或者執行惡意程序的連接。T1204 用戶執行.001 惡意連接.002 惡意文件誘使受害者執行惡意文件或者點擊惡意鏈接。T10

47、87 賬號發現.004 云賬戶通過惡意程序獲取受害者本地信息，發現 Snowflake 憑證T1078 有效賬戶.004 云賬戶通 過 惡 意 程 序 竊 取 Snowflake 憑 證，使 用 Snowflake 憑 證 登 錄Snowflake 服務。T1041 通過 C2 通道進行數據外泄N/A攻擊者可能通過現有的命令和控制通道竊取數據。參考鏈接：https:/ 上半年全球云上數據泄露風險分析報告2.10 豐田公司泄露 240GB 員工和客戶信息事件時間：2024 年 8 月 16 日泄露規模：240GB 的文件，包含豐田員工和客戶的信息以及合同和財務信息事件回顧：2024 年 8 月

48、16 日，黑客組織 ZeroSevenGroup 表示侵入了一家美國機構，竊取到了 240GB 文件，其中包含豐田員工和客戶的信息及合同和財務信息。另外，他們還聲稱會提供帶有密碼的所有目標網絡的 ADRecon1。雖然豐田沒有透露泄露的日期，但BleepingComputer 發現這些文件可能已于 2022 年 12 月 25 日被盜。8 月 17 日，豐田汽車北美公司承認了此次數據泄露事件影響到了部分豐田員工和客戶，表示他們正在與可能受影響的員工和客戶對接，并在需要時提供幫助。最后，他們聲稱這些數據是從一個三方機構泄露的，他們自身的系統不存在漏洞，也沒有遭到任何攻擊。2024 年 8 16，

49、客組織 ZeroSevenGroup 表示侵了家美國機構，竊取到了 240GB件，其中包含豐員和客戶的信息及合同和財務信息。另外，他們還聲稱會提供帶有密碼的所有標絡的 ADRecon14。雖然豐沒有透露泄露的期，但 BleepingComputer 發現這些件可能已于 2022 年 12 25 被盜。8 17，豐汽北美公司承認了此次數據泄露事件影響到了部分豐員和客戶，表示他們正在與可能受影響的員和客戶對接，并在需要時提供幫助。最后，他們聲稱這些數據是從個三機構泄露的，他們的系統不存在漏洞，也沒有遭到任何攻擊。圖 10 客組織 ZeroSevenGroup 發布的事件截圖 事件分析：AD 域（A

50、ctive Directory Domain）是微軟 Windows 絡環境中的個核概念，它是微軟提供的種錄服務，存儲了絡中各類資源信息，如戶賬戶、組、計算機、共享資源等，允許絡管理員和戶通過圖形界或命令具來管理這些信息?？徒M織 ZeroSevenGroup 可能通過某種攻擊式拿到標主機權限，并使 ADRecon 具在主機中進信息收集。最終，ZeroSevenGroup 發現并竊取了 240GB 的件，涉及豐北美公司。泄露件內容包含：聯系、財務、客戶、計劃、員、照、數據庫、絡基礎設施、電郵件等。VERIZON 事件分類：System Intrusion（系統侵）所 MITRE ATT&CK 技

51、術：14 ADRecon 是種從 AD域環境中進信息收集的具，包括 Domain、Trusts、Subnets等。ADRecon 可以從能夠連接到環境的任何服務器中運，甚包含不是域成員的主機。圖 8 黑客組織 ZeroSevenGroup 發布的事件截圖1ADRecon 是一種從 AD 域環境中進行信息收集的工具，包括 Domain、Trusts、Subnets 等。ADRecon 可以從能夠連接到環境的任何服務器中運行，甚至包含不是域成員的主機。252024 上半年全球云上數據泄露典型事件解讀事件分析：AD 域（Active Directory Domain）是微軟 Windows 網絡環境

52、中的一個核心概念，它是微軟提供的一種目錄服務，存儲了網絡中各類資源信息，如用戶賬戶、組、計算機、共享資源等，允許網絡管理員和用戶通過圖形界面或命令行工具來管理這些信息。黑客組織 ZeroSevenGroup 可能通過某種攻擊方式拿到目標主機權限，并使用 ADRecon工具在主機中進行信息收集。最終，ZeroSevenGroup 發現并竊取了 240GB 的文件，涉及豐田北美公司。泄露文件內容包含：聯系人、財務、客戶、計劃、員工、照片、數據庫、網絡基礎設施、電子郵件等。VERIZON 事件分類：System Intrusion（系統入侵）所用 MITRE ATT&CK 技術：技術子技術利用方式T

53、1588 獲得能力.002 工具攻擊者使用 ADRecon 工具。T1059 命令行和腳本解釋器.001 PowerShell使用命令行執行 ADRecon 工具。T1552 不安全憑證.001 文件中的憑證攻擊者識別 AD 域中的憑證信息。T1530 云存儲中的數據N/A攻擊者訪問 AD 域中的數據。T1567 通過 Web 服務外泄N/A攻擊者可能利用 Web 服務進行數據竊取。參考鏈接：https:/ 9 所示，從事件分類模式上看，雜項錯誤是導致數據泄露的主要原因，占比高達 60%。其次為系統入侵和基礎 Web應用攻擊，分別占 30%和 10%。圖 9 2024 上半年云上數據泄露事件類

54、型分布其中，雜項錯誤主要是錯誤配置導致的未授權訪問，系統入侵則是通過社工、掃描攻擊或者惡意軟件竊取受害者賬號口令，再通過這些賬號口令竊取敏感信息，基礎 Web 應用攻擊主要是通過爬蟲等技術獲取憑證或未授權的服務訪問路徑。下面我們將針對上述事件分類模式提出相應安全建議，希望能給企業提供一些安全防護思路。3.1 針對雜項錯誤的安全建議2024 年上半年云上數據泄露事件中，其中絕大多數事件是由于服務訪問控制策略配置不當導致的。這些云服務包含公有云提供的服務也包括自建類服務，如 MongoDB、Google Cloud Storage 和 Amazon S3 對象存儲等均是因為配置了公開訪問才進一步導

55、致數據泄露。因此，我們提供以下安全建議：1.通過配置防火墻、訪問控制列表（ACL）、角色訪問控制（RBAC）或者服務監聽策282024 上半年全球云上數據泄露風險分析報告略等方式縮小服務暴露范圍。例如通過配置 bindIp 參數，限制 MongoDB 只監聽特定的私有網絡地址。如圖 10 所示，在 mongod.conf 中設置：圖 10 MongoDB 監聽配置2.禁 止 服 務 匿 名 訪 問 策 略，如 修 改 mongod.conf 文 件 的“authorization 為enabled”，禁止 MongoDB 匿名訪問；3.監控和記錄所有訪問請求，并配置異?；顒痈婢?。如公有云服務可

56、直接開啟云審計和告警服務。例如，使用 aws cloudtrail create-trail 配置跟蹤訪問日志，并設置告警以監測異?；顒?22。3.2 針對系統入侵的安全建議1.設置網絡隔離策略，如根據資產或業務設置多個微分段網絡，針對每個微分段設置白名單放行規則等；2.啟用多因素身份驗證（MFA），增強高敏感系統和數據的訪問控制；3.定期輪換服務賬戶的訪問密鑰和 API 密鑰，并及時撤銷不再使用的密鑰?？衫迷茝S商的密鑰管理服務（Key Management Service KMS）；4.實施集中憑證管理，防止憑證泄露。如使用 AWS Secrets Manager 或 Azure Key

57、Vault；5.定期為員工提供云安全培訓，內容涵蓋配置管理、數據保護、憑證管理、安全監控和應急響應，提升開發人員的安全意識，確保運維人員能夠快速應對泄露事件；6.自動撤銷離職員工對系統的訪問權限，包括云服務平臺、內部系統、郵件賬戶和第三方服務等，并停用和刪除相關的賬戶和認證口令；7.對所有敏感數據進行加密處理，無論是靜態存儲還是傳輸過程中的數據，確保即使數據泄露，攻擊者也無法讀取。3.3 針對基礎 Web 應用攻擊的安全建議29安全建議1.建立 Web 應用反爬機制，如針對頻繁請求使用驗證碼、通過 IP 地址限制請求頻率、使用 AJAX 加載部分內容等；2.建議強制啟用多因素身份驗證（MFA）

58、，即使攻擊者獲取了用戶名和密碼，也無法輕易登錄系統；3.服務設置登錄失敗次數限制，防止密碼暴破；4.服務定期提醒用戶修改密碼，若未及時修改，則自動重置為高強度密碼。3.4 其他建議除以上針對性建議外，用戶還可以參考通用類緩解措施以降低數據泄露風險:1.使用外部攻擊面管理平臺（EASM）方案，掃描和監控網絡資產，識別公網暴露資產、漏洞和配置錯誤，結合真實攻擊路徑評估可能存在泄露風險的資產和數據。借助這些自動化的技術方案，企業可以更全面、精確地管理外部威脅，降低泄露風險；2.實施供應商訪問控制管理，限制第三方對內部系統和數據的訪問權限，如云廠商提供的訪問控制機制 AWS IAM。04總結31總結本

59、篇報告分析了2024年上半年全球云上數據泄露的風險與事件，系統性探討了事件成因，包括主流云攻擊手法和配置錯誤等人為因素。為了更清晰地描述云上數據泄露的攻擊路徑，我們引用了 MITRE ATT&CK 模型中的攻擊手法并進行了說明，有助于讀者更好地理解這些攻擊機制。綠盟科技創新研究院在云上風險發現和數據泄露領域已經開展了多年的研究。借助Fusion 數據泄露偵察平臺，我們已監測到數萬個云端暴露資產存在未授權訪問的情況，包括但不限于自建倉庫、公有云對象存儲、云盤、OLAP/OLTP 數據庫，以及各類存儲中間件等，具體研究內容可參考2023 公有云安全風險分析報告3。Fusion 是由綠盟科技創新研究

60、院研發的一款面向數據泄露測繪的創新產品，集探測、識別、泄露數據偵察于一體，針對互聯網中暴露的泛云組件進行測繪，識別組件關聯的組織機構和組件風險的影響面，實現自動化的資產探測、風險發現、泄露數據分析、責任主體識別、數據泄露偵察全生命周期流程。圖 11 Fusion 能力全景圖Fusion 的云上風險事件發現組件具有如下主要特色能力：資產掃描探測：通過多個分布式節點對目標網段/資產進行分布式掃描探測，同時獲取外部平臺相關資產進行融合，利用本地指紋知識庫標記，實現目標區域云上資產探測與指紋標記；資產風險發現：通過分布式任務管理機制對目標資產進行靜態版本匹配和動態 PoC 驗證的方式，實現快速獲取目標

61、資產的脆弱性暴露情況；風險資產組織定位：利用網絡資產信息定位其所屬地區、行業以及責任主體，進而挖掘322024 上半年全球云上數據泄露風險分析報告主體間存在的隱藏供應鏈關系及相關風險。資產泄露數據分析：針對不同組件資產的泄露文件，結合大模型相關技術對泄露數據進行分析與挖掘，實現目標資產的敏感信息獲??；當今數字化迅速發展的時代，數據安全問題越來越受到廣泛關注。與此同時，隨著云計算技術的普及和應用，企業也不可避免面臨著云上數據泄露事件的頻繁發生，為了提供公眾和相關行業對數據安全的認知，我們計劃持續發布關于云上數據泄露的分析報告，內容涵蓋最新的案例解讀、核心攻擊技術分析、趨勢洞察、安全防護最佳實踐及

62、專家建議等。如果讀者對本報告有任何意見或疑問，歡迎批評指正。如有合作意向請聯系我們（郵箱）。05參考文獻342024 上半年全球云上數據泄露風險分析報告1https:/ https:/ 13Ticketmaster Data Security Incident–Ticketmaster Help14 https:/ https:/snowflake.discourse.group/t/detecting-and-preventing-unauthorized-user-access/896716 https:/ https:/goharbor.io/18https:/ 20 Snowflake-linked attack on Advance Auto Parts exposes 2.3 million people|Cybersecurity Dive21 https:/ S3 中的日志記錄和監控-Amazon Simple Storage Service