网络安全公司UpGuard的网络风险小组发布报告指出,由世界一流的商业财经信息提供商、新闻媒体出版集团道琼斯公司持有的一套云文件存储库存在配置错误,且其中包含的来自数百万家企业客户的个人及财务敏感信息以半公开形式接受网络访问。尽管道琼斯方面证实至少有220万客户受到影响,但根据UpGuard方面的计算,受影响客户量可能接近400万。
UpGuard网络风险小组是一个致力于发现网络数据泄露事故的单位,其负责保护敏感信息、防止潜在的滥用风险,以及提高公众对于数字化时代之下影响数据安全性的各类风险问题的认知。
为何泄露?
此次泄露的数据包括《华尔街日报》以及《巴伦周刊》在内的各道琼斯公司出版物的数百万名订阅者的姓名、地址、帐户信息、电子邮件地址以及信用卡后四位号码。
另外,此次一同被暴露在云端的还有“道琼斯风险与合规”系列数据库当中的160万条记录,这些数据库属于一个仅供企业订阅的情报项目,用以帮助各金融机构遵循法规以打击洗钱活动。
此次暴露的数据存储库为一个Amazon Web Services S3存储桶,管理人员通过权限设置将其配置为允许任何AWS“认证用户”通过该存储库的URL进行数据下载。
根据Amazon方面给出的定义,所谓“认证用户”是指“任何拥有Amazon AWS帐户的用户”,而AWS帐户免费提供注册。
此次云数据泄露事件说明不安全的数据管理机制会带来持续威胁,而错误的安全设置则直接导致数百万道琼斯客户的敏感信息被他人窥探。就此前成功实施攻击的类似案例来说,这些暴露在云端的数据很可能被恶意人士所利用。
更为着急的是,道琼斯公司对这一事故讳莫如深的态度更是致使数据遭遇曝光的客户无法快速行动以保护自己的个人信息。
发现过程
2017年5月30日晚,UpGuard网络风险研究主管克里斯·维克里发现了一个采用“dj-skynet”子域名且可供AWS认证用户访问的Amazon S3云数据存储库。尽管存储库本身的标题与内容指明这部分数据很可能源自道琼斯,这一点此后也得到了道琼斯公司首席信息安全官的证实,但其中的“Skynet”——即天网,似乎是指《终结者二:审判日》电影中的毁灭性计算机系统。
今年6月1日,维克里开始下载该存储库中的内容,5天之后发现内容不再允许下载。
“dj-skynet“存储库当中包含数十个目录,其中多个文件夹以”build_assets“、”development“、”customerlogin“以及”cust_subion“等短语命名。在点击其中第四个文件夹后,可以看到文件夹中包含4个经过压缩的Apache Avro文件,总存储数据有771 MB;其中最小的文件为89 MB,解压完成后的文件原始大小为2 GB。
table=ics_cust_subion”文件夹当中的内容
在解压完成之后,可以看到这些文件属于由道琼斯客户数据组成的四份大型文本日志,并可轻松将其导入数据库以进行内部记录与保存。在文本文件当中填充的数据字段包括客户姓名、道琼斯内部客户ID、家庭与企业地址以及更多帐户详细信息,例如客户注册订阅时享受的促销优惠。而最为关键的是,文件当中还包含有客户信用卡的最后四位数字,以及用于在线登录其帐户的电子邮箱地址。一小部分客户的电话号码甚至也被纳入到文本当中。
道琼斯公司已经证实称,此次数据曝光总计影响到220万名客户。然而根据存储库的大小及组成进行分析,UpGuard小组保守估计受影响客户数量可能高达400万,其中可能存在一部分重复订阅情况。
另一个存储在主目录当中的文件夹名为“rnc_watchlist“。尽管道琼斯公司此前曾经提供名为风险与合规监控列表(Risk and Compliance Watchlist)产品,但该文件夹的标题实际上指的可能是道琼斯的反入侵数据库套件。该产品以道琼斯旗下的“风险与合规”品牌进行销售,且号称为用户提供“面向流程、审查与调查的研究工具与外包服务,帮助企业减轻与反洗钱、反贿赂、腐败乃至经济制裁等规定相关的第三方风险“,从而“帮助企业更快评估第三方风险并建立起信心”。
此文件夹当中包含21个用于具体解释该数据集内各项字段名称的模式文件,外加一个名为djrc_ac_csv_201603312359_f的.csv文件。此.csv文件中包含160万行个人或条目,同时亦囊括有对应的别名、组织、业务以及主题背景及个人历史信息。
风险与合规数据集中反复出现的几类字段
此份列表还包括大量分布于全球各地的金融行业从业人员位置信息,以及众多声誉不良的政治党派; 下图所示为已故利比亚领导人卡扎菲的相关条目。
风险与合规.csv文件当中关于卡扎菲的相关条目
这组包含160万条可疑人士及实体的数据与道琼斯公司对其RiskReports以及RiskCenter等风险与合规工具作出的描述不谋而合,这些平台能够为用户提供存在潜在问题的人士及组织的相关信息,帮助其避免与其产生往来。
重大意义
此次云数据泄露事故再次凸显出数字化风险领域中的几大关键性难题,这在2017年的数字化发展当中极具重大意义。
云存储面临的挑战
立足当前,企业在配置当中允许对云存储信息进行公开或者半公开访问已经成为一种非常常见的作法,而这显然会将客户的敏感数据暴露在不必要的风险之下。由此引发的滥用威胁真实存在,而随着网络恶意势力的迅速发展,攻击者完全能够利用这些流出至网络上的用户信息为自身牟利。
尽管UpGuard小组尚不清楚在相关存储库关闭之前,是否已经有恶意人士获取到道琼斯云存储桶当中的各项数据,但事故的存在已经为网络犯罪分子的潜在恶意活动途径指明了方向。无论是对于垃圾邮件发送方抑或是数字化营销人员,此类包含客户姓名、地址、电子邮箱地址以及部分电话号码的信息都将极具现实意义,甚至可能引发极为恶劣的影响。
被泄露的数据常规利用方式:钓鱼攻击
恶意软件将自身伪装为官方身份并借此说服用户提供个人敏感信息的网络钓鱼行为当前已然成为主流。
道琼斯出版物拥有400万订阅用户,相关信息的流出必然导致恶意人士借此部署新一轮网络钓鱼攻击。《华尔街日报》已经开始发布官方电子邮件,提醒客户其订阅已经失效或者帐户已经被盗用,而恶意人士也完全能够借此机会利用类似的方式诱导这些高价值目标提供其信用卡信息甚至是登录凭证等等。
信用卡信息的重要性
虽然此次信息泄露只涉及客户信用卡的最后四位数字,但这同样有可能造成重大损失。2015年出现的一项安全漏洞就允许恶意人士获取大通银行或者美国银行信用卡的最后四位数字,将此与受害者的电话号码相结合即可实现对帐户的控制。
企业的安全意识影响事件响应
而最令人担忧的仍然是道琼斯公司领导层的回应。虽然企业肯定不希望向客户通告这样的事故,但这样处理的意义在于保证消费者获得相关数据,进而迅速阻止恶意人士的其它滥用行为。而道琼斯讳莫如深的处理态度则只会让情况适得其反。正如英国保险公司The AA此前遭遇的状况一样。该公司曾于今年4月否认其某台服务器可供公开访问,然而7月的调查证明这样的说法根本站不住脚,且该公司超过10万名客户的财务信息因此遭到泄露。
而在此次云数据泄露事件当中,道琼斯方面的回应同样非常缓慢,这亦证明除了小型公司之外,世界知名的、甚至是掌控着上层金融世界统治权的巨头企业同样在处理客户数据风险方面表现不力。总而言之,网络风险问题可谓无处不在,其后果可能影响到世界范围内从锅炉房到会议室的各类场景。
面对这样的挑战,企业必须重新控制自身IT系统,以确保有能力快速发现各类易于预防的错误。否则,必将承受成本高昂的数字资产泄露损失。
