今年年初,亚马逊AWS S3宕机恶性事件风糜全球,造成亚马逊S3主要数据中心无响应,导致AWS历史上公共云服务出错最长且影响最大的一次。短短几月,由亚马逊AWS S3引发的云数据安全事件再次引发关注。
近日,权威安全调研机构UpGuard的网络风险小组发布报告指出,由世界一流的商业财经信息提供商、新闻媒体出版集团道琼斯公司持有的一套云文件存储库存在配置错误,让包括《华尔街日报》订户在内的220万道琼斯“私密信息”都遭到未经授权的访问。
事件发生后,道琼斯公司对外发言人表示,这些信息在亚马逊AWS上过度曝光,而不是开放式互联网。“这是由于内部错误,而不是黑客或攻击。”
其中,受影响的数据包括姓名,电子邮件地址,家庭地址,内部帐户详细信息,信用卡号码的最后四位数字,以及紧急联系电话号码。
据了解,道琼斯发言人将数据描述为“基本联系信息”,并表示“不包括可能对消费者构成重大风险或需要通知的完整信用卡或帐户登录信息”。他说,该公司没有证据表明该信息已被采纳。
根据调研报告显示:“不难看出黑客会如何利用网络钓鱼信息来攻击那些暴露的顾客。” “从发送官方的电子邮件来看,发送人自称《华尔街日报》(Wall Street Journal),邮件显示通知客户他们的订阅已经失效或被泄露,黑客可能成功地说服了这些高价值的目标,提供信用卡信息、登录凭证或更多信息。”
UpGuard还发现了道琼斯风险与合规服务部门的数据,收集了有关高风险个人和组织的信息,以帮助公司遵守有关洗钱,贿赂,腐败和制裁的监管义务
在过去的几年里,包括儿童在内的数以百万计的人的个人信息已经暴露出来,因为配置上的错误导致各种各样的公司的数据库在互联网上被公开访问。此类事件表明,组织需要更好地理解将数据移动到云中的访问控制机制。