WizCase網(wǎng)絡(luò)安全研究團隊發(fā)現(xiàn)一個重大漏洞，這個漏洞導(dǎo)致一些美國城市數(shù)據(jù)遭暴露，在這次暴露事件中，所有這些城市都使用同一個市政網(wǎng)絡(luò)服務(wù)提供商。

這一網(wǎng)絡(luò)犯罪行為損害了公民的地址、電話號碼、身份信息、稅務(wù)文件等。 由于敏感而獨特的文檔數(shù)量眾多且類型多樣，因此很難估計此次泄露事件中暴露的人數(shù)。而且無需密碼或登錄憑據(jù)即可訪問此信息，且數(shù)據(jù)未加密。

[[414100]]

事件經(jīng)過

在數(shù)據(jù)泄露事故中，80多個美國城市似乎都在使用mapsonline.net這一產(chǎn)品。這是由一家名為PeopleGIS 的美國公司提供。這些城市的數(shù)據(jù)存儲在幾個錯誤配置的Amazon S3 存儲桶中，這些存儲桶與MapsOnline共享類似的命名約定。

PeopleGIS是一家位于馬薩諸塞州的公司，專門從事信息管理軟件。馬薩諸塞州的許多城市以及康涅狄格州和新罕布什爾州等周邊州的一些城市使用他們的軟件和平臺來管理各種數(shù)據(jù)。

通過掃描顯示114個以相同模式命名的 Amazon Buckets，這揭示了與 PeopleGIS的聯(lián)系。其中28個似乎配置正確(意味著它們不可訪問)，86個無需任何密碼或加密即可訪問。

這意味著有3個可能：

• PeopleGIS 創(chuàng)建了存儲桶并將其移交給他們的客戶(所有市政當(dāng)局)，其中一些人確保正確配置了這些存儲桶;
• 存儲桶是由PeopleGIS的不同員工創(chuàng)建和配置的，關(guān)于這些存儲桶的配置沒有明確的指導(dǎo)方針;
• 市政當(dāng)局自己創(chuàng)建了存儲桶，使用PeopleGIS關(guān)于命名格式的指導(dǎo)方針，但沒有任何關(guān)于配置的指導(dǎo)方針。

哪些數(shù)據(jù)易受攻擊?

網(wǎng)絡(luò)安全研究人員團隊發(fā)現(xiàn)了80多個錯誤配置的Amazon S3 存儲桶，其中包含與這些城市相關(guān)的數(shù)據(jù)，總計超過1000 GB的數(shù)據(jù)和超過160萬個文件。 公開的文件類型因市政當(dāng)局而異。這種差異和涉及的市政當(dāng)局數(shù)量意味著無法明確估計在這次違規(guī)中易受傷害的人數(shù)。

圖為：泄露文件示例：房地產(chǎn)稅法案。

暴露的文件類型包括營業(yè)執(zhí)照、居住記錄(例如契約)、稅務(wù)信息和政府工作申請人的簡歷。泄露中暴露的信息包括(但不限于)：

• 電子郵件地址
• 實際地址
• 電話號碼
• 駕駛執(zhí)照號碼
• 房產(chǎn)稅信息
• 個人照片(駕駛執(zhí)照上)
• 房源照片
• 建筑和城市規(guī)劃

圖為：泄露文件示例：緊急和危險化學(xué)品清單表格。

一些易受攻擊的文檔已被編輯，但它們是使用標(biāo)記等透明工具進行數(shù)字編輯的。這意味著找到它們的人可以在照片編輯器中更改文檔的對比度級別并查看編輯后的信息。 這意味著即使是經(jīng)過編輯的文檔也可能在這次違規(guī)中受到攻擊。

圖：暴露文件的一個例子：駕駛執(zhí)照。

違規(guī)行為可能導(dǎo)致這些城市的公民大規(guī)模欺詐和盜竊。地方政府?dāng)?shù)據(jù)庫中包含的數(shù)據(jù)具有高度敏感性，從電話號碼到營業(yè)執(zhí)照再到稅務(wù)記錄，極易被不良行為者利用。 這些信息中的大部分應(yīng)該只能由政府和公民訪問，這意味著有人可能通過冒充政府官員來欺騙個人。

有哪些風(fēng)險以及如何保護自己免受詐騙?

圖為：公開文件示例：財產(chǎn)登記表。

• 身份盜竊：泄露中暴露的大量PII(個人身份信息)和私人詳細信息可能會讓壞人很容易偽裝成其他人并竊取他們的身份。 這種違規(guī)行為使身份盜用成為一種特別危險的風(fēng)險，因為不良行為者獲得的信息越多，他們就越有可能成功。
• 網(wǎng)絡(luò)釣魚、欺詐和詐騙：大量易受攻擊的財務(wù)和機密記錄可能會讓黑客冒充政府官員進行網(wǎng)絡(luò)釣魚、欺詐或詐騙公民。
• 盜竊：暴露的住宅信息，如房屋計劃、契約和業(yè)主信息，可以讓攻擊者深入了解他們的目標(biāo)。他們還可以使用這次入侵中的信息來尋找更容易上當(dāng)人群，如老年人。
• 文件操作：這種風(fēng)險取決于市政當(dāng)局如何使用配置錯誤的存儲桶中的數(shù)據(jù)。如果文件僅用于備份存儲，則幾乎沒有屬性值操縱的風(fēng)險。但是，如果市政當(dāng)局積極使用這些存儲桶中的數(shù)據(jù)，則可能會覆蓋文件以操縱財產(chǎn)價值、個人稅務(wù)信息和其他方法。
• 贖金：攻擊者可以從存儲桶中下載文件，然后將其擦除并將數(shù)據(jù)贖回城市。

以上僅代表幾個方面，網(wǎng)絡(luò)犯罪分子不斷更新新的手段來利用互聯(lián)網(wǎng)上的任何易受攻擊的人。

數(shù)據(jù)安全建設(shè)任重道遠

頻繁發(fā)生的數(shù)據(jù)泄露事件提醒我們，隨著互聯(lián)網(wǎng)加快發(fā)展，包括政府在內(nèi)的企業(yè)和個人，越來越多的數(shù)據(jù)存儲在互聯(lián)網(wǎng)上，這也意味著在發(fā)生網(wǎng)絡(luò)攻擊時，這些數(shù)據(jù)面臨著危險。尤其隨著我國智慧城市的建設(shè)，物聯(lián)網(wǎng)和互聯(lián)網(wǎng)結(jié)合使用，一方面方便了社會治理和居民生活，但另一方面，不斷收集并流轉(zhuǎn)的大數(shù)據(jù)也給網(wǎng)絡(luò)犯罪分子以可乘之機，一旦攻破網(wǎng)絡(luò)安全防御，丟失損壞數(shù)據(jù)造成的后果難以預(yù)計。因此，在建設(shè)數(shù)字化轉(zhuǎn)型的同時，更要將安全放置在首位，提前做好網(wǎng)絡(luò)安全布局，對網(wǎng)絡(luò)攻擊做到未雨綢繆。