在数据泄露的中心再次泄漏AWS S3桶
贷款费用:税务合规慈善机构要求刑事欺诈调查调查计划启动子
HMRC向上签署富士通两年的用户计算支持
Cisos努力跟上斜切竞技场和CK框架
SSE通过下一代连通性加强苏格兰的数字基础设施
2023年,DataceRe可持续发展倾向于成为Colo社区的竞争性差异化因素
绿色货物扩展了里米尼合约,以保持遗产SAP后端运行
O2需要5G到德国最大的城市
BT为英国客户带来RCS业务消息
RémyCointreau在Google Cloud上将SAP迁移到S / 4 HANA
软件AG捕获双敲击勒索软件
银行可以通过技术解决洗钱拼图吗?
Utility供应商人员的能源有全民客户列表被盗
Forrester:CIO必须为BREXIT数据传输做准备
斯托斯波特委员会推出数字培训倡议
沃达丰团队与IOT.NXT将企业IOT带到新级别
爱立信展望云增加了ran灵活性
ViaSAT检查Delta以提高空中连接
诺基亚与A1奥地利合作,使LTE,5G校园网络启用
连接的车辆关联可以致电无线频谱来开发用例
维克利亚的创始人Julian Assange有阿斯伯格综合征和抑郁症,法院听到
商业领袖必须使用现在的经验教训来获得未来准备
MEPS拒绝访问观察者到朱利安宣传引渡听证会
沙特阿拉伯当局与中国IT巨头合作的数字目标
爱立信获取摇篮加速企业5G
政府仍然在轨道上发展英国卫星
法律委员会为在线滥用的受害者提出了更大的保护
LAX And​​roid应用程序开发人员将数百万用户处于危险之中
明年IT战略的三种选择
如果他们帮助赎金软件受害者支付,则安全优势面临制裁
CityFibre奖£1.5亿英镑,以27个城镇和城市资助全纤维建筑
GSMA推出数字访问指南,以帮助残疾人
HMRC Shuns Gov.uk通知并寻求供应商统一通知
英国监管机构缺乏应对越来越多的算法的技能和专业知识
Comms Giants流到亚马逊的边缘,以提高5G企业,工业应用
CMA阐述了规范技术巨头的计划
社交媒体数据泄漏突出了Myky数据刮的世界
全球数据中心集线器分析揭示了65%的全球拼赠收入来自25个城市
沃达丰,爱立信试用连接无人机的自动飞行路径
在2020年的北欧故事中的十大企业
新的承包商指定跨越德文和萨默塞特推出纤维宽带
H&M集团在可持续发展推动下签署瑞典环保运营商的多年派对协议
亚马逊负责违反欧盟反托拉斯规则
网络安全是开源的下一个前沿
Solarwinds网络攻击是全球安全的“严重风险”
NetApp提升NVME,QLC和集装箱混合云报价
瓦拉与英国政府合作拉丁美洲解释项目
APAC困扰着帆布软件攻击
应用程序集成意味着紧急服务可以识别三个单词的呼叫者位置
多个D-Link路由器发现很容易受到攻击
您的位置:首页 >电子新闻 >

在数据泄露的中心再次泄漏AWS S3桶

2021-09-16 12:43:50 [来源]:

组织明显无法正确且适当地保护他们在云存储实例中保留的数据的数据再次对在线旅游业的渠道管理软件服务的供应商的数百万次记录曝光来痛苦地显而易见。

一些世界上最受欢迎的旅行零售网站的用户,包括Booking.com,Expedia和Hotels.com,应该在威望未能适当突出AWS简单的存储服务后守护(S3)剩下的10年暴露的数据到公众互联网。

它于11月6日2020年由网站行星的研究人员披露,总计24.4GB的数据,包括至少1000万张文件。

转储中包含的数据点包括旅行者和旅行社的信用卡详细信息,包括全部重要的CVV码,付款详细信息,预订详细信息和个人身份信息(PII),包括名称,电子邮件地址,国家ID号和电话号码。

网站Planet表示,该议案仍然与不断上传的新记录一起使用,虽然它在几个小时内获得的研究团队联系AWS,但是不可能说数据库尚未被访问或被盗。

AWS S3桶默认是安全的,因此在没有一个网络罪犯的目标攻击的情况下,在这种情况下不一定会被排除,所以它们的内容只能通过声望软件的错误或疏忽揭示。此外,AWS提供了有关保留S3铲斗安全的详细信息。

这提出了为什么这种违规是如此相同的问题 - 实际上,根据Sonrai安全首席执行官Brendan Hannigan的说法,错误的配置是公共云违规的头号原因。但是,他补充说,这可能是有点可理解的。

“爆炸复杂性,尤其是身份和数据访问,导致人为误差和无意的曝光,”汉尼曼说。

“当使用许多包含PII的数据集时,我们发现了无意中的数据曝光。这意味着数据泄露,例如暴露的S3桶,只是冰山的尖端。“

Synopsys高级安全工程师Boris Cipot评论说:“云技术正在帮助组织以多种方式更好,更快,更先进的运营。但是,维护该技术的流程也需要被视为优先事项。

“在生产中引入技术需要与彻底检查配对,以确保数据被正确保障。虽然这些检查可能最初是耗时的,但他们有必要防止稍后沿线的问题。“

Resten Poschman,Comforte AG高级解决方案建筑师表示,虽然可以通过接受默认的AWS S3权限来减轻事件来拒绝访问,但问题的根源是许多组织正在使用实时数据,而是应该相反使用以数据为中心的安全模型,允许数据被保护,因为它通过组织获取并传输数据,而不管它被存储或访问的位置如何。

“使用像令牌化等技术为中心的保护允许组织使用受保护的数据进行日常运营,分析和数据共享,”Poschman说。“在这种情况下,它可能意味着完全避免违规,因为S3桶仅包含De-Intemified,安全数据。”

Metomic CEO和联合创始人Richer Viber还讨论了作为隐私文化的关键要素。

“令人沮丧的是,通过拥抱一个隐私第一文化,这可能很容易和经济地避免,”他说。“例如,引入技术来检测和令令致辞的个人身份信息,所以它是不可读的。

“Prestige软件等公司需要停止思考隐私作为法律和合同复选框。相反,他们必须将其视为消除数据漏洞的手段,因此他们可以维护客户信任并具有数据的权力,而不会存在风险。“

对于Prestige的在线旅行公司的客户群,该事件再次突出对云安全责任的责任,以及使用有价值的数据 - 作为软件供应商BlackBaud的击败2020年前赎金瓶事件的击败反应的智慧也表现出来。

“违反声望软件的数据是不幸的,特别是由于误造出来的,”Gurucul Ceo Saryu Nayyar说。“与第三方供应商合作造成了许多挑战,包括确保他们维持自己的组织所需的同等网络安全。”

当然,威廉的真正受害者当然不是其客户,而是客户的客户,潜在的许多消费者现在,他们现在没有自己的过错,即被网络犯罪分子受到影响的风险。

Proprivacy Digital Privacy Expert Ray Walsh表示,受影响的数字可能远远高于目前披露的数字。

“有数百万人的数据,包括信用卡详细信息,可以通过网络罪犯访问,”他说。“自2013年以来,任何都有酒店预订这些主要旅馆预订平台的人可能有风险。

“这对Prestige软件至关重要,涉及的酒店预订平台迅速行动以确定哪些消费者受到影响,因此可以联系并告诉他们询问他们的卡片并仔细观察他们的账户,以便任何入侵的迹象。”

CIPOPS在Synopsys同意,如果在公开时访问数据库,消费者将面临最有破坏性的影响。他说,他预期的恶意演员试图通过试图渗透其他联系的账户和服务并进行网络钓鱼攻击,并进行信用卡欺诈和身份盗窃。

“我们不确定糟糕的演员还没有获得此数据的访问权限,”他补充道。“但是有一些可能受影响的用户可以通过积极降低风险,并反过来提高他们向前发展的安全性。

“首先,用户应该在网站上更改密码以及可能重复使用的任何其他在线服务。如果您因使用的服务数量和强密码的监管需求而被淹没,则值得使用密码管理器。

“第二个,谨慎态度请求个人数据,例如密码,用户名,社会安全号码或财务数据。服务提供商永远不会通过电子邮件甚至在手机上申请此类数据。如果有疑问,请致电您的服务提供商或直接访问其网页并通过网站登录。您不打开附件或单击电子邮件中的链接至关重要。

“最后,主动与您的银行交谈 - 让他们知道您已使用已泄露数据的服务并定期检查您的银行陈述是否可疑活动。”

作为由欧盟一般数据保护法规(GDPR)和持有欧洲公民的数据的西班牙公司,Prestige软件需要报告违约,因为不这样做将邀请法律行动和巨额罚款,说网站星球研究员标记Holden。

沃尔什在贪婪地区表示,在财务合规方面,沃尔斯表示,该公司的困难更具困难。

“现在,全面调查是必要的,以便决定是否违反支付卡行业数据安全标准(PCI DSS),因此可能需要剥离其他说,能够处理它所适用的公司的卡付款。“

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。