数据库|云安全漏洞事件频发，我们能从中学到什么？ live|王昱珩|云栖|科技|达摩院

文章插图
2020年是多灾多难的一年。
这一年，数据泄露事件比过去15年的加起来还多。 Canalys 发布的网络安全评论中有300起报告泄露事件（比2019年增长119%），310亿条数据记录遭到泄露（比2019年增长171%）。
这能怪新型冠状病毒吗？不能，它只是一个导火索。
当疫情将我们限制在家里时，考验线上交互产品的时间到了。运营交互产品的公司战战兢兢，一怕公司访问资源不够用；二怕黑客搞游击战己方分身乏术。
2020年，美国提高网络安全支出，但即便增长率高达10%，也没能摸到数字化转型的脚后跟。在网络安全方面，美国正处于捉襟见肘的局面，实在无法保卫公有云基础设施和现代化应用程序。
就在大家放弃抵抗的同时，那些复杂的环境、碎片化的堆栈；那些无穷无尽的基础设施；那些前所未有的速度和庞大的数据规模，每一拳都捶打在网络安全的痛点上。
下面会分述2020年最大的9起云漏洞事件。这个“大”不指受损的数据与数量，而是指暴露的范围和潜在的漏洞。我们会描述这些重大事故是如何发生的，也会总结事件的关键点，希望可以帮到你。
一、内部数据的错误配置
2020年1月，微软公开了一起内部事故：2019年12月5日公司在更改数据库安全组时，员工引入了错误的安全配置规则，导致2.5亿条支持案例记录遭到破坏，其中包括电子邮件、IP地址和支持案例的详细信息。
事后微软表示，这次的事故没有暴露任何商业云服务，也就是说商业客户的数据是安全的。而且一般情况下，个人信息在自动编辑后也会被删除。
客户数据一旦丢失，黑客就会利用这些数据实施钓鱼攻击，后果不堪设想。Check Point 事件处理小组已经发现了许多钓鱼攻击，这些黑客只需发起关键任务，例如“您的 IT 支持邮箱已满”或“新语音邮件：无法访问资源”，就可以通过访问历史记录发动攻击。
值得一提的是，这起事故是由第三方检测出来的，这不但让人们意识到加强内部资源网络安全规则审核的重要性，更意识到检测安全规则错误配置和实时提醒安全团队的重要性。
二、未受保护的数据库有多危险
2021年1月30日，一名网络安全研究员发现，雅诗兰黛教育平台的部分数据库没有密码保护。也就是说，只要你访问就可以纯文本用户电子邮件、IP 地址、端口、路径和存储信息。黑客可以利用这些信息抓取未加密的生产、审计、错误、CMS 和中间件日志了，危险可想而知。
雅诗兰黛发现风险后第一时间修复了这个错误，他们也表示没有泄露任何客户的数据。从这次的事件中我们可以发现三个可以改进的点：
有效的发现和管理对数据库安全至关重要。未受保护的数据随时会变成威胁，还会为网络钓鱼攻击大开方便之门。
绝不能为了灵活轻松的配置云资源取消密码保护，这会付出安全上的惨重代价。
数据应始终加密，即使在非生产数据库中也是如此。
三、八年未受保护的秘密数据库
2020年3月10日《华盛顿邮报》爆出一篇文章，文章中提到一个可以共享秘密的手机应用 Whisper 从2012年到2020年安全事故爆出后，有9亿个帖子的数据库都没有受到保护。数据库中还包括用户的年龄、种族、性别、家乡、昵称和群组成员身份。
Whisper 立刻联系到《华盛顿邮报》删除该文章，同时发现这起事件的网络安全研究员还没有证明这些数据被使用过。
这件事情就这样结束了。但是我们应该知道造成这种事件的原因是什么。CPIRT 的研究人员表示，出现泄露的服务器和服务通常是配置错误和补丁过时。
如果设置一些定时外部攻击和自身扫描检测服务器，也许情况会更好一些。
在混合云和多云的复杂环境下，只有建立有效的安全监控，才能防患于未然。
四、服务器中的人脸识别数据泄露
2020年3月一家巴西生物识别方案公司被安全研究员发现在不设防的服务器上放置着8150万条记录。这些记录中包含的信息有：管理员登录信息、员工电话号码、电子邮件地址、公司电子邮件和与 76,000 个指纹相关的二进制代码，这些代码对指纹可进行逆向追溯。我们在暴露的数据库中还发现了面部识别数据。
这次的问题出在上云的过程中。公司没有将安全的数据配置到基于云的数据库上储存。
CPIRT 的调查员见到过很多次匆忙的云迁移，然而这种自乱阵脚的做法给黑客提供了不少钻空子的机会。
所以应用程序要在从本地基础架构奔向云基础架构时，做好特殊防护措施。比如密码保护和数据加密等等。