日前發現,Amazon Simple Storage Service (S3) 有一個不安全且未加密的儲存貯體,將 36,077 筆屬於美國多個州內矯正機構的受刑人紀錄外洩出去。發現這次外洩的是 vpnMentor,暴露內容包括個人識別資訊 (PII)、用藥紀錄以及受刑人日常活動的細節。外洩的儲存庫屬於 JailCore,它是一種用於矯正機構管理的雲端應用程式。
研究人員最初會發現資料外洩是因為一項網路地圖計畫,人員透過掃描通訊埠找出有漏洞的系統,而他們將這項發現回報給 JailCore,該儲存貯體便在幾天內關閉。
[相關內容:不安全的 AWS S3 儲存貯體洩漏超過三萬名大麻店客戶的資料]
曝光資料
遭曝光資料包括受刑人的個人識別資訊,像是全名、生日、編號、大頭照和牢房位置。研究人員注意到,部分資訊其實早在資料外洩以前就已經可以公開取得。
受刑人的用藥紀錄也同樣被曝光,包括藥物名稱、劑量、開始與結束用藥的日期、開藥數量與配藥次數、施用日期時間,還有該受刑人是接受或拒絕了處方簽,甚至包括他們的全名;部分案例中還有施予藥物矯正機構人員的簽名。
受刑人活動的細節也遭曝光,包括如廁、洗澡、用餐、探視、休閒活動、收包裹、打掃等等。其他紀錄包括人數報告和人員審核日誌。
一名 JailCore 代表聲稱外洩的紀錄多為假的受刑人資訊,僅用於測試該應用程式的功能。而他承認部分外洩檔案中確實包含實際受刑人的資訊,卻也表示這些紀錄並沒有洩漏敏感資訊。
讓雲端儲存服務更安全
若儲存貯體不安全,攻擊者就很容易竊取資料並阻礙運作。雖然大多數雲端儲存服務都有內建安全功能,但這些設定和對儲存資料的保護設定,終究還是取決於使用者。幸好,使用者可以選擇幾種可行的步驟來促進雲端儲存系統的安全性。
[請參閱:設定不當的雲端服務為機構帶來極高的安全風險]
首先,使用者必須認真學習如何進行安全設定。許多人都有錯誤的觀念,認為雲端服務的安全性理所當然,而且整個系統都是「隨插即用」。IT 人員中應有特定成員負責研究這些安全設定,以確保完整的保護。
使用者也應該更改預設的密碼,並定期更新密碼。網路罪犯能夠取得預設及經常使用的密碼,也會主動搜尋漏洞,找出可以入侵的系統。若要防範攻擊,使用安全性強的密碼是很小卻十分必要的一步。
企業也必須實行最小權限原則,必須在各個層級之間確認權限並限制存取,只把權限開給真正有需要的人。
安全團隊應該固定進行安全稽核及評估,若找到安全漏洞,應立即採取適當行動解決問題,部署最新的修補程式或將檔案自儲存貯體移除。
人員必須監測系統是否有不尋常的活動,並確保日誌開啟,才能獲得監測及分析安全威脅所需的資訊。
公司應定期為員工舉行網路安全訓練,推廣對安全雲端服務的意識。
推薦以下趨勢科技解決方案,為您多一層保護:
- Hybrid Cloud Security(混合雲防護) – 針對包括實體、虛擬和雲端工作負載的混合環境設計,讓安全滴水不漏。
- Cloud One™ File Storage Security – 提供安全的雲端檔案及物件儲存。
- Deep Security™ for Cloud – 主動偵測威脅以維護安全。
- Deep Security as a Service – 針對 AWS、Azure 及 VMware 系統設計的安全系統。