約會應用程式 Jack’d 因隱私問題遭罰 24 萬;《財星 100 大》企業資料外洩,皆因安全措施不當的 AWS S3 伺服器導致

便利性固然是雲端服務的一項主要優勢,但將工作負載移到雲端,絕非如「隨插即用」這般容易。 企業經常犯的一項錯誤就是以為雲端一旦設好之後,就能一勞永逸 …

Jack’d 外洩用戶私人照片長達一年

以「同性戀、雙性戀及好奇男士」為訴求對象的聊天約會應用程式 Jack’d 最近被迫必須支付 24 萬美元的罰金並改善公司資安措施,因為該公司的某台 Amazon Web Services (AWS) S3 伺服器因安全措施不當而持續外洩用戶私人照片長達一年的時間。紐約檢察長 (New York Attorney General) Leticia James 對外宣布這項和解時指出,Jack’d 所屬的 Online Buddies, Inc. 公司未能妥善保護該應用程式 1,900 名同性戀、雙性戀及跨性別用戶的敏感照片。

今年 2 月,Online Buddies 即因有報導指出該應用程式洩漏了敏感影像而遭到調查。一位名叫 Oliver Hough 的資安研究人員在循線追查一些裸露照片時發現來源竟然是 Jack’d 應用程式。他在 2018 年 2 月時便通知該公司,指出其 AWS S3 伺服器含有組態設定上的錯誤,但該公司卻未針對這項訊息採取行動。

這台不安全的 S3 伺服器除了洩漏用戶私下上傳及私下分享給其他用戶的裸露照片之外,還可能洩漏了一些其他敏感的資訊,包括:定位資訊、裝置識別碼、作業系統版本、密碼雜湊值,以及最近一次登入日期。

根據紐約檢察長辦公室發出的新聞稿指出,該應用程式光在紐約就有大約 7,000 名活躍用戶,而該公司也在官方網站上表示他們在全球 180 個國家 2,000 個城市共有 120 萬名活躍用戶。 

以色列資料管理公司 Attunity 因組態設定錯誤而發生資料外洩

組態設定錯誤至今仍是企業機構常犯的錯誤,而且情況令人擔憂。因為,經過時間證明,這是網路犯罪集團經常能夠取得使用者敏感資料的原因。除了 Online Buddies 之外,以色列一家資料管理公司 Attunity 最近也因組態設定錯誤而發生資料外洩。  

根據 UpGuard 的研究顯示,Attunity 有三台儲存公司資料 (如電子郵件記錄和員工資料庫) 的 AWS S3 伺服器都暴露在外、供人公開存取。除了 Attunity 自己本身的資料之外,還有該公司 2,000 家客戶的商業文件、登入憑證與通訊記錄也都暴露在外,包括 Netflix 、Ford 及 TD Bank 等多家《財星 100 大》(Fortune 100) 企業。

防範資料外洩:如何確保雲端服務與客戶資料的安全?

隨著越來越多使用者和企業機構都將自己的敏感資訊提供給信賴的雲端應用程式,確保資料安全的工作已刻不容緩。但如今,許多資料外洩事件背後追根究柢的因素還是組態設定錯誤,並且為受害企業招致巨額的罰鍰與商譽損失。

採用 AWS 的企業皆應了解,雲端安全是一種共同分擔的責任,換句話說,企業也必須做好自己的本分,妥善管理自己的資安組態設定。此外,AWS 也提供了一些可協助企業達成法規遵循要求的資源,幫助企業更妥善保護自己的內容、平台、應用程式、系統,以及網路。

以下是一些有助於企業提升雲端服務安全並保護敏感資料的五個措施:

  1. 了解您的雲端。便利性固然是雲端服務的一項主要優勢,但將工作負載移到雲端,絕非如「隨插即用」這般容易。
  2. 檢查並修改登入憑證和權限。
  3. 定期檢查雲端資產以防組態設定錯誤。企業經常犯的一項錯誤就是以為雲端一旦設好之後,就能一勞永逸。
  4. 採用系統記錄檔與網路分割這類的資安措施。當雲端的使用者數量龐大時,管理起來將變得相當困難。
  5. 實行嚴格的使用者存取控管可有效減少資產暴露在外或資料遭到外洩的機會。

凡是仰賴雲端來處理大量資料庫的企業,皆可參考一下Hybrid Cloud Security 混合雲防護解決方案。該產品提供了跨世代融合的威脅防禦技巧,並專為保護實體、虛擬及雲端工作負載而最佳化。此外,更內含趨勢科技Deep Security這套領先市場的伺服器防護平台,隨時隨地保護著全球數以百萬計的實體、虛擬及雲端伺服器。

原文出處:Unsecured AWS S3 Servers Lead to Steep Settlement Fee for Dating App Jack’d, Exposed Data for Fortune 100 Companies