在数据泄露的中心再次泄漏AWS S3桶
组织明显无法正确且适当地保护他们在云存储实例中保留的数据的数据再次对在线旅游业的渠道管理软件服务的供应商的数百万次记录曝光来痛苦地显而易见。
一些世界上最受欢迎的旅行零售网站的用户,包括Booking.com,Expedia和Hotels.com,应该在威望未能适当突出AWS简单的存储服务后守护(S3)剩下的10年暴露的数据到公众互联网。
它于11月6日2020年由网站行星的研究人员披露,总计24.4GB的数据,包括至少1000万张文件。
转储中包含的数据点包括旅行者和旅行社的信用卡详细信息,包括全部重要的CVV码,付款详细信息,预订详细信息和个人身份信息(PII),包括名称,电子邮件地址,国家ID号和电话号码。
网站Planet表示,该议案仍然与不断上传的新记录一起使用,虽然它在几个小时内获得的研究团队联系AWS,但是不可能说数据库尚未被访问或被盗。
AWS S3桶默认是安全的,因此在没有一个网络罪犯的目标攻击的情况下,在这种情况下不一定会被排除,所以它们的内容只能通过声望软件的错误或疏忽揭示。此外,AWS提供了有关保留S3铲斗安全的详细信息。
这提出了为什么这种违规是如此相同的问题 - 实际上,根据Sonrai安全首席执行官Brendan Hannigan的说法,错误的配置是公共云违规的头号原因。但是,他补充说,这可能是有点可理解的。
“爆炸复杂性,尤其是身份和数据访问,导致人为误差和无意的曝光,”汉尼曼说。
“当使用许多包含PII的数据集时,我们发现了无意中的数据曝光。这意味着数据泄露,例如暴露的S3桶,只是冰山的尖端。“
Synopsys高级安全工程师Boris Cipot评论说:“云技术正在帮助组织以多种方式更好,更快,更先进的运营。但是,维护该技术的流程也需要被视为优先事项。
“在生产中引入技术需要与彻底检查配对,以确保数据被正确保障。虽然这些检查可能最初是耗时的,但他们有必要防止稍后沿线的问题。“
Resten Poschman,Comforte AG高级解决方案建筑师表示,虽然可以通过接受默认的AWS S3权限来减轻事件来拒绝访问,但问题的根源是许多组织正在使用实时数据,而是应该相反使用以数据为中心的安全模型,允许数据被保护,因为它通过组织获取并传输数据,而不管它被存储或访问的位置如何。
“使用像令牌化等技术为中心的保护允许组织使用受保护的数据进行日常运营,分析和数据共享,”Poschman说。“在这种情况下,它可能意味着完全避免违规,因为S3桶仅包含De-Intemified,安全数据。”
Metomic CEO和联合创始人Richer Viber还讨论了作为隐私文化的关键要素。
“令人沮丧的是,通过拥抱一个隐私第一文化,这可能很容易和经济地避免,”他说。“例如,引入技术来检测和令令致辞的个人身份信息,所以它是不可读的。
“Prestige软件等公司需要停止思考隐私作为法律和合同复选框。相反,他们必须将其视为消除数据漏洞的手段,因此他们可以维护客户信任并具有数据的权力,而不会存在风险。“
对于Prestige的在线旅行公司的客户群,该事件再次突出对云安全责任的责任,以及使用有价值的数据 - 作为软件供应商BlackBaud的击败2020年前赎金瓶事件的击败反应的智慧也表现出来。
“违反声望软件的数据是不幸的,特别是由于误造出来的,”Gurucul Ceo Saryu Nayyar说。“与第三方供应商合作造成了许多挑战,包括确保他们维持自己的组织所需的同等网络安全。”
当然,威廉的真正受害者当然不是其客户,而是客户的客户,潜在的许多消费者现在,他们现在没有自己的过错,即被网络犯罪分子受到影响的风险。
Proprivacy Digital Privacy Expert Ray Walsh表示,受影响的数字可能远远高于目前披露的数字。
“有数百万人的数据,包括信用卡详细信息,可以通过网络罪犯访问,”他说。“自2013年以来,任何都有酒店预订这些主要旅馆预订平台的人可能有风险。
“这对Prestige软件至关重要,涉及的酒店预订平台迅速行动以确定哪些消费者受到影响,因此可以联系并告诉他们询问他们的卡片并仔细观察他们的账户,以便任何入侵的迹象。”
CIPOPS在Synopsys同意,如果在公开时访问数据库,消费者将面临最有破坏性的影响。他说,他预期的恶意演员试图通过试图渗透其他联系的账户和服务并进行网络钓鱼攻击,并进行信用卡欺诈和身份盗窃。
“我们不确定糟糕的演员还没有获得此数据的访问权限,”他补充道。“但是有一些可能受影响的用户可以通过积极降低风险,并反过来提高他们向前发展的安全性。
“首先,用户应该在网站上更改密码以及可能重复使用的任何其他在线服务。如果您因使用的服务数量和强密码的监管需求而被淹没,则值得使用密码管理器。
“第二个,谨慎态度请求个人数据,例如密码,用户名,社会安全号码或财务数据。服务提供商永远不会通过电子邮件甚至在手机上申请此类数据。如果有疑问,请致电您的服务提供商或直接访问其网页并通过网站登录。您不打开附件或单击电子邮件中的链接至关重要。
“最后,主动与您的银行交谈 - 让他们知道您已使用已泄露数据的服务并定期检查您的银行陈述是否可疑活动。”
作为由欧盟一般数据保护法规(GDPR)和持有欧洲公民的数据的西班牙公司,Prestige软件需要报告违约,因为不这样做将邀请法律行动和巨额罚款,说网站星球研究员标记Holden。
沃尔什在贪婪地区表示,在财务合规方面,沃尔斯表示,该公司的困难更具困难。
“现在,全面调查是必要的,以便决定是否违反支付卡行业数据安全标准(PCI DSS),因此可能需要剥离其他说,能够处理它所适用的公司的卡付款。“