顶级酒店预订平台泄露百万数据 360专家：企业“低级”错误威胁云安全

来源：金融界网站

近日，西班牙巴塞罗那的一家软件公司，被发现泄露了全球数百万客户的敏感、私人和财务数据。

受影响的酒店在线预订网站，包括了顶级行业巨头Booking.com、Agoda（安可达）等。涉事软件为这些客户酒店，提供了一个名为"云酒店"的渠道管理平台。据称，这些客户也是数据泄露的不知情受害者。

后经调查，涉事软件存在存储桶配置错误，即无需任何安全身份验证即可公开进行公共访问。换言之，软件公司存储的旅行社和酒店客户的信用卡数据，没有任何安全措施。这也意味着，连接到“云酒店”的每个网站和预订平台都有可能受到影响。

存储桶配置错误是什么？

11日，360未来安全研究院资深安全专家、云安全研究院副院长魏小强表示，云配置错误，是当今企业迁移到云端+所面临的最可预防但又最常见的安全问题之一。存储桶配置错误（何人都可以查看和编辑其中包含的文件）属于云配置错误的一种；云配置错误，还包括了对主机、容器和虚拟机的访问权限过大等，亦会引发数据泄露。

而最常见的错误配置类型，包括了直接选择服务器的默认云安全设置；未进行严格的访问管理，从而使得未经授权的人获得对敏感数据的访问权；以及未设置正确的数据访问权限—机密数据被公开，不需要再授权。

最近几年，因存储桶配置错误导致的数据泄露事件，屡屡发生。存储桶配置错误也正成为数据泄露的重要原因。

数月前，据媒体报道，4200万伊朗人的个人信息和电话号码，在一台配置错误的服务器上曝光，最终在黑客论坛上出售。

Hackread.com报告亦显示，一个配置错误的数据库，在2019年12月暴露了2.67亿脸书用户的信息。今年4月，同一个数据库被挂至黑客论坛，以600美元售出。

更令人意外的是，有研究称，百分之六的谷歌云存储桶，因配置错误而遭任意访问。

魏小强补充称，上述云存储桶被暴露的数据，包括6000个扫描文档在内，这些文档包括护照、出生证和印度儿童的资料等敏感数据。他认为，多数情况下，云计算的安全问题是由疏忽和粗心审计导致的。

“若数据已经泄露，实事上，很难补救。最好的方式则是防患于未然”，魏小强指出，除了强化自身内部安全意识，如设置存储对象访问权限时需要特别小心，确保只有组织内需要访问权限的人员才能访问；建立严格的流程来定期审核云配置等，此外，还可以使用可以不断查看配置的第三方安全工具，因为它提供了持续的独立检查，并在配置错误时提醒客户；另外，就是获得有经验的第三方安全测试专家支持，以确保正确配置了所有内容。

有观点认为，配置不当问题在新冠肺炎疫情后的远程工作情况下变得更糟糕。

对此，魏小强表示赞同，“今年受新冠疫情影响，企业选择了大面积远程办公，对云应用的依赖，比以往更加强烈。”

他认为，正因此，带来了更大的安全漏洞风险，企业对云安全解决方案的需求和使用也在不断攀升，“传统安全手段一时难以应对云上的安全需求，必然会给黑客带来更多可乘之机。”

基于此，360公司针对云上安全打造了360连接云平台，可提供一系列解决方案。

据介绍，该平台可在360安全大脑的持续赋能下，针对各政企客户在数字化化转型背景下面临的复杂安全难题，如多云管理、云端身份滥用、DDoS攻击、数据泄露、账号劫持、应用接口攻击等安全风险。