在线公开了23亿业务和消费者数据文件

2022-05-18 10:46:13来源:

与期望相反,自全面实施一般数据保护条例(GDPR)以来,在线暴露的未受保护文件的数量增加。

根据一份报告评估数字风险保护公司数字阴影的无意的全球数据曝光规模的报告,约有23亿个数据文件,客户护照数据,银行记录和医疗信息 - 在互联网上暴露在互联网上暴露。

由于2018年的数字阴影进行了同样的研究,曝光率增加超过7.5亿件文件。这一增加了超过50%的增加,尽管世界各地的消费者具有比以往任何时候都有更多的力量,而不是由于GDPR和越来越多的其他数据保护法而无法保护个人数据。

公开的数据包括英国的9800万条记录,从德国12100万,来自美国的3.26亿,违反了GDPR的许多公司,罚款高达2000万欧元或4%的全球营业额的罚款保护客户数据的充分步骤。

根据该报告,赋予常用文件存储技术的原因是常用的文件存储技术的错误配置,导致保护和访问控制不足,赋予了许多信息:续集。

数字阴影的光子研究团队发现,近50%的文件(1.071亿)通过服务器消息块(SMB)协议进行了公开 - 用于共享文件的技术,该技术在1983年首次设计,现在占所公开的档案数最多由于组织越来越多地寻求通过使员工和合作伙伴更容易获得的数据来提高业务效率。

“企业专注于在远程可访问的服务器上提供数据,而无需足够重视安全影响”哈里森·瓦莱德,数字阴影

“企业专注于在远程可访问的服务器上提供可用的数据,而无需支付足够的关注安全影响,”Photon Research分析师哈里森van Riper表示。

“重点是在业务需求上,许多思考后来他们将在后面参加安全方面,而不是从一开始就烘烤它,”他每周告诉电脑。“但希望这将在未来改变由于GDPR和其他数据保护立法的影响越来越越来越大,”他补充道。

其他MISCONPD技术包括文件传输协议(FTP)服务(总共20%),rsync站点(16%),亚马逊S3 CloudStorage桶(8%)和网络附加存储(NAS)设备(3%)。

根据研究团队的说法,由于这种曝光的结果为组织的风险是“严重”。除了在GDPR和其他数据保护法下的潜在执法行动之外,未能确保敏感个人信息的组织将以网络犯罪分子攻击攻击达到易于提供的数据,使客户,员工和第三方陷入困境。

在一个案例中,研究人员发现英国的一家小型IT咨询公司揭示了212,000个文件,其中许多属于其客户端,密码列表保存在纯文本中。研究人员表示,这是一个与他们的数据相信第三方的组织的“主要示例”,而当那些第三方未能保持安全保障时,没有能见。

该报告指出,在最近的一项庞克美岛研究所在美国和英国的1,000名安全从业者调查中,59%确认,他们的组织因第三方而经历了数据违约。研究人员表示,该研究强调了确保合作伙伴和第三方将合作伙伴和第三方将足够的安全管制适用于组织的数据,特别是在GDPR的背景下。

该报告警告说,企业也通过未能采取适当的步骤来防范赎金软件攻击。研究人员发现了超过1700万个公开的档案被赎金软件加密。

其中,二百万(占总数的11%)被Nampohyu Variant加密,也被称为Megalocker,自2019年4月的发现以来的几周.Nampohyu赎金软件专门针对易受攻击的服务器,使用Samba开源实现在基于UNIX的系统上运行的SMB协议,并允许文件通信到Windows操作系统。

与本地交付的大多数其他勒索软件不同,并将其作为可执行文件推出,Nampohyu搜索公开访问的Samba服务器,Brute Force,并在本地运行ransomware来加密公开的服务器。

“这意味着许多企业可能会受到这些赎金软件攻击的影响,但可能不知道它,我希望看到赎金软件攻击者在将来利用这种曝光的文件,”Van Riper说。

“RansomWare的标准缓解建议是备份文件,以便如果它们被加密,则可以轻松恢复,但如果此备份也加密,则无法工作。组织不仅应该备份数据,而且还需要确保这些备份是安全的,“他说。

该报告显示唯一的消费者的风险很高,其中包含攻击者需要进行身份盗窃所需的所有公开的FTP服务器,包括求职,个人照片,护照扫描和银行陈述。

研究人员还发现了470万暴露的医疗相关文件,其中大多数是存储在DICOM中的医学成像文件(数字成像和医学中的通信)格式。

虽然整体文件曝光增加,研究人员报告亚马逊S3桶暴露的数据急剧下降。2018年11月,亚马逊推出了Amazon S3块公共访问,为其服务提供了更广泛的安全控制。

研究人员指出,自引入安全控制后,暴露的S3桶的数量从超过1600万到1,895次下降。

另一个积极的标志是,自卢森堡和荷兰推出GDPR对齐的数据保护立法,这两国的数据曝光都减少了。

卢森堡的数据曝光率从8月下旬到2018年9月下旬减少了28%,于2018年8月1日引入新的数据隐私法,该法于11月20日实施。

荷兰的曝光率降低了8%,立法者开始于2017年12月在2017年12月出版法律,从2018年5月22日出版法律,并开始于5月25日申请。

该报告称,虽然数据保护立法只是减少数据曝光的解决方案的一部分,但这些例子表明至少有一些相关性,并且表明有一些机会将作为欧洲的GDPR床,将有进一步的改进。

“我们的研究表明,在GDPR世界中,无意中暴露的数据的影响更为显着,”Van Riper说。

“欧洲联盟中的国家统称超过10亿件文件 - 我们在全球范围内的近50%,比去年的观察到了大约2.62亿。

“一些数据曝光是无法解决的 - 自2014年以来,微软并不支持SMBV1,但许多公司仍然使用它。我们敦促所有组织定期审核他们面向公开的服务的配置。“

Van Riper的组织研究的关键外卖是,Van Riper,他们需要通过部署各种技术措施,以确保可以通过部署各种技术措施,以确保他们公开可用的数据可以通过部署各种技术措施,例如白名单和强大的身份验证。

“Nampohyu赎金软件,例如,使用蛮力攻击来利用密码的弱密码,因此如果这些服务器的凭据更强大,则它们不太可能被感染,”他说。

数字阴影是建议组织采取以下预防措施:

使用Amazon S3块公共访问限制公共曝光型桶,这些桶是私密的。启用AWS以监视任何不需要的访问或潜在曝光点。可用于监视任何不需要的访问或潜在曝光点。可用于要求协议的系统,更新到SMBV2或V3。IP白名单应仅用于仅启用授权访问这些共享的系统,这确实是访问这些Shares.IF rsync的唯一禁用端口837以禁止任何外部连接。加密rsync存储的所有通信也将减少潜在的曝光点。使用安全的FTP(SFTP)作为FTP(超过30岁以上的SFTH),其向协议添加了SSH加密。使用FTP服务器,网络连接存储(NAS)驱动器应在内部放置在防火墙和访问控制列表后面,以防止不需要的访问。
返回科技金融网首页 >>

版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。


相关文章