安永数据泄露——4TB SQL Server 备份数据在微软 Azure 上公开
全球会计巨头安永会计师事务所(EY)的一个高达 4TB 的 SQL Server 备份文件被发现可以公开访问在微软 Azure上。 网络安全公司 Neo Security 在一次例行资产映射工作中发现了这一安全漏洞,这凸显了即使是资源充足的组织也可能在无意中使敏感数据容易受到互联网自动扫描器的攻击。 Neo Security 的首席研究员在使用底层工具检查被动网络流量时发现了该文件。 一个简单的 HEAD 请求,旨在获取元数据而不下载内容,却揭示了惊人的大小:4 TB 的数据,相当于数百万份文档或整个图书馆的信息量。 该文件的命名约定表明它是 SQL Server 备份(.BAK 格式),通常包含完整的数据库转储,包括架构、用户数据,以及至关重要的嵌入式密钥,例如 API 密钥、凭据和身份验证令牌。
全球会计巨头安永会计师事务所(EY)的一个高达 4TB 的 SQL Server 备份文件被发现可以公开访问在微软 Azure上。
网络安全公司 Neo Security 在一次例行资产映射工作中发现了这一安全漏洞,这凸显了即使是资源充足的组织也可能在无意中使敏感数据容易受到互联网自动扫描器的攻击。
Neo Security 的首席研究员在使用底层工具检查被动网络流量时发现了该文件。
一个简单的 HEAD 请求,旨在获取元数据而不下载内容,却揭示了惊人的大小:4 TB 的数据,相当于数百万份文档或整个图书馆的信息量。
该文件的命名约定表明它是 SQL Server 备份(.BAK 格式),通常包含完整的数据库转储,包括架构、用户数据,以及至关重要的嵌入式密钥,例如 API 密钥、凭据和身份验证令牌。
发现与验证过程
对 Azure Blob 存储的初步搜索没有立即发现所有权线索,但更深入的调查发现了用欧洲语言编写的合并文件,这些文件使用 DeepL 等工具进行了翻译,表明这是一次 2020 年的收购。
关键的DNS SOA记录查询将该域名与ey.com关联起来,证实了安永会计师事务所的参与。据Neo Security报道,为了避免任何法律风险,该团队只下载了文件的前1000字节,结果发现了未加密SQL Server备份的标志性“魔数”签名。
这并非理论上的风险。Neo Security 依靠的是实际事件响应经验,他们回忆起一起金融科技公司的数据泄露事件,该事件的起因是类似的 .BAK 文件短暂暴露了仅仅五分钟。
在这种情况下,攻击者利用短暂的窗口期窃取了个人身份信息和凭证,导致勒索软件攻击和公司倒闭。
如今的僵尸网络只需几分钟就能扫描整个 IPv4 地址空间,此类暴露必然会导致安全漏洞。Neo Security 停止了进一步的探测,并在周末采取了负责任的披露措施,最终在尝试了 15 次后通过 LinkedIn 联系到了安永的 CSIRT(计算机安全事件响应小组)。
安永迅速且专业地做出了反应,在一周内对问题进行了分类和补救,没有丝毫辩解,而是采取了有效的行动。
该公司处理此事的成熟态度值得称赞,这在经常充斥着否认或拖延的行业中实属难得。然而,此次事件也凸显了云系统存在的系统性漏洞。Azure 导出数据库的便捷性可能导致访问控制列表 (ACL)错误,只需一次误操作,就可能将私有存储变成公共存储。
对于安永这样一家审计数十亿美元交易并掌握影响市场的财务数据的四大会计师事务所来说,这一疏忽引发了人们对快速发展的基础设施监管的质疑。
专家警告说,自动化对抗性扫描意味着泄露事件不是“是否”会发生的问题,而是“有多少”攻击者会注意到的问题。
随着云复杂性的增加,持续映射和可见性工具对于领先于威胁至关重要,确保组织能够首先发现自身的漏洞。
网络安全公司 Neo Security 在一次例行资产映射工作中发现了这一安全漏洞,这凸显了即使是资源充足的组织也可能在无意中使敏感数据容易受到互联网自动扫描器的攻击。
Neo Security 的首席研究员在使用底层工具检查被动网络流量时发现了该文件。
一个简单的 HEAD 请求,旨在获取元数据而不下载内容,却揭示了惊人的大小:4 TB 的数据,相当于数百万份文档或整个图书馆的信息量。
该文件的命名约定表明它是 SQL Server 备份(.BAK 格式),通常包含完整的数据库转储,包括架构、用户数据,以及至关重要的嵌入式密钥,例如 API 密钥、凭据和身份验证令牌。
发现与验证过程
对 Azure Blob 存储的初步搜索没有立即发现所有权线索,但更深入的调查发现了用欧洲语言编写的合并文件,这些文件使用 DeepL 等工具进行了翻译,表明这是一次 2020 年的收购。
关键的DNS SOA记录查询将该域名与ey.com关联起来,证实了安永会计师事务所的参与。据Neo Security报道,为了避免任何法律风险,该团队只下载了文件的前1000字节,结果发现了未加密SQL Server备份的标志性“魔数”签名。
这并非理论上的风险。Neo Security 依靠的是实际事件响应经验,他们回忆起一起金融科技公司的数据泄露事件,该事件的起因是类似的 .BAK 文件短暂暴露了仅仅五分钟。
在这种情况下,攻击者利用短暂的窗口期窃取了个人身份信息和凭证,导致勒索软件攻击和公司倒闭。
如今的僵尸网络只需几分钟就能扫描整个 IPv4 地址空间,此类暴露必然会导致安全漏洞。Neo Security 停止了进一步的探测,并在周末采取了负责任的披露措施,最终在尝试了 15 次后通过 LinkedIn 联系到了安永的 CSIRT(计算机安全事件响应小组)。
安永迅速且专业地做出了反应,在一周内对问题进行了分类和补救,没有丝毫辩解,而是采取了有效的行动。
该公司处理此事的成熟态度值得称赞,这在经常充斥着否认或拖延的行业中实属难得。然而,此次事件也凸显了云系统存在的系统性漏洞。Azure 导出数据库的便捷性可能导致访问控制列表 (ACL)错误,只需一次误操作,就可能将私有存储变成公共存储。
对于安永这样一家审计数十亿美元交易并掌握影响市场的财务数据的四大会计师事务所来说,这一疏忽引发了人们对快速发展的基础设施监管的质疑。
专家警告说,自动化对抗性扫描意味着泄露事件不是“是否”会发生的问题,而是“有多少”攻击者会注意到的问题。
随着云复杂性的增加,持续映射和可见性工具对于领先于威胁至关重要,确保组织能够首先发现自身的漏洞。
关于作者
评论0次