【機敏資料不當存取權限指派已成為企業雲上的未爆彈】雲端資料儲存不設防，成重大資訊治理隱憂

以往提及資料外洩的防範，多半不是從內部竊取，就是駭客由外部發動攻擊的角度探討。而這兩種型態的事件，都是屬於帶有特定意圖的攻擊為出發點，像是可能因同業挖角等原因，即將離職的員工，從而竊取公司的重要機密。

然而，最近幾年，企業的IT人員編制，數量往往不增反減，但需要管理的應用系統，卻越來越多，導致IT人員往往難以精通所有列管系統的設定，再加上企業運用公有雲越來越普及，因IT人員或是使用者的無心之過，在公有雲存放機敏資料的儲存體上，採取了不當配置，而產生的資料外洩風險，如今便逐漸浮上檯面。

圖片來源／Palo Alto

因配置不當產生的風險，成企業採用雲端的資安最大隱憂

根據Palo Alto發表的2018年雲端安全報告中，受訪企業認為最大的資安威脅，已經不再是各式的網路攻擊，而是員工錯誤的設定造成機密曝險（62%），由於駭客只要找到完整路徑，就可以下載公司機敏資料，遠比發動攻擊要來得難以察覺。

雖然，問題形成的原因，來自員工或合作廠商的無心之過，但對於有心人士而言，卻是等於只要找到了完整的路徑，不需發動任何攻擊，就能長驅直入將企業的機密搬回家。稍微值得慶幸的是，目前資安人員所揭露的事件，許多機敏資料並未遭到駭客開採，或是造成嚴重的災情，然而，這也突顯企業採用各式型態的雲端服務後，資訊治理（IT Governance）變得更加困難。

這樣的情況，我們光是尋找AWS S3的新聞，就能看到許多的資料曝光，許多案例涉及的資料數量都相當龐大，而且，其中還有不少知名的企業，包含提供備份與災難復原解決方案的廠商Veeam、電信業者Verizon、媒體娛樂集團華納媒體（WarnerMedia，AT&T併購前稱為時代華納），以及聯邦快遞（FedEx）等，都被資安研究員發現，因組態設定不當，造成資料在AWS S3儲存體大公開的情形。而美國政府也連接被發現，將軍事情資與選情關連的民眾個資，大量儲存在S3上，卻沒有任何保護措施。

多家知名企業意外曝露大量個資

以提供企業備份產品的Veeam，9月13日共同CEO暨總裁Peter Mckey發表聲明，指出因人為疏失，該公司含有行銷資料的資料庫遭到公開，雖揭露此事的資安研究員Bob Diachenko指出，總計多達4.45億筆個資遭到曝光，不過Veeam僅證實其中包含450萬個電子郵件信箱。

論及最近的重大資料公開事件，就連專門開發虛擬備份平臺的龍頭Veeam，也照樣中招。資安研究員Bob Diachenko在今年9月揭露，他透過物聯網搜尋引擎Shodan，發現該公司公開的MongoDB資料庫，而且，不需密碼就能存取。

物聯網搜尋引擎在8月底時，把上述的資料庫納入索引，並於9日9日才關閉。這個MongoDB資料庫總共存放了200GB、4.45億筆的客戶資料，資料建立的時間點從2013年至2017年，其中的內容，包含了客戶的名稱、電子郵件帳號、國籍、來源IP位址，以及所屬企業規模等。雖然Veeam的資料庫受到索引的時間約為10天，然而這個極為龐大的資料庫，對於想要發送大量垃圾郵件的人，或是利用網路釣魚發動攻擊的駭客而言，簡直就是寶庫。

由於在去年初，駭客開始大舉攻擊網路上公開的MongoDB資料庫，先匯出資料，再清除原本資料庫裡的內容，藉此向資料庫所有者勒索，估計因此受害的資料庫超過4萬個。所以，Diachenko認為，Veeam並未遭到駭客勒索，算是相當幸運。

像Veeam這樣不小心將資料公開的情況，也出現在其他產業。像是聯邦快遞，Diachenko在今年2月發現，該公司在S3上儲存了至少119,000份含客戶個資的掃描文件，而且同樣沒有密碼保護。

研究人員指出，這些資料的來源，指向該公司為了跨足線上購物市場，所併購的美國商品代購服務業者Bongo International，包含了自2008年到2015年之間的資料，文件的內容包含了護照、駕照，以及寄送物品的申請表等，受害者遍及全球，包含歐洲地區、加拿大、澳洲、日本、中國、馬來西亞、墨西哥，以及沙烏地阿拉伯等。雖然Bongo International的線上服務已於2016年4月關閉，但是上述文件仍舊曝露在S3儲存體中。聯邦快遞接獲通報後，便關閉了該儲存體的公開存取權限。

委外廠商可能變成企業的豬隊友

將重要資料存放到雲端空間，因權限設置不當變成公開曝露的情況，除了企業自己的員工，如今許多業務委託外部的合作廠商執行，他們也有可能不小心洩露企業的客戶資料。

去年7月，資安公司UpGuard風險分析師Chris Vickery發現，美國電信業者龍頭Verizon，因外包廠商S3儲存體的配置有誤，造成超過1,400萬筆用戶個資外洩，包含用戶姓名、地址、電話號碼、Verizon帳號，以及PIN碼等。Vickery指出，只要利用PIN碼，駭客就能假冒用戶的身分，進而要求Verizon客服人員修改或刪除用戶的資料，因此這項資訊的洩露產生了極大的風險。

同年9月，華納媒體也因手機App外包廠商設置於S3的資料庫設定疏失，導致共有600GB、400萬名用戶資料公開。

根據資安公司Kromtech的調查，發現這些資訊來自軟體服務業者BroadSoft，應該是與開發App相關的資料，不只華納媒體的客戶資料遭到曝露，還連帶公開了BroadSoft自己公司的基礎架構。

上述的資料存放在2個公開的資料夾中，包含了華納媒體的用戶個資，涵蓋姓名、帳號、MAC位置、付款地址，以及電話等，時間橫跨2010年到2017年。

公部門也受波及，民眾資料全都露

類似的情況，在政府單位同樣層出不窮。去年6月，資安公司UpGuard風險分析師Chris Vickery發現，美國共和黨委託旗下的資料研究公司Deep Root Analytics收集並分析選情，但該資料研究公司竟公開在AWS S3上，存放了近2億筆共和黨選民資料，容量高遠1.1TB之多，相當於500小時的影片檔案大小。然而，這些資料竟然沒有任何保護措施，任何人只要能夠存取正確的資料夾路徑，就能一覽上述的民眾詳細個人資料。

經分析後發現，S3的子網域為Deep Root Analytics所有，而且該公司也與其他同屬共和黨的資料分析外包業者，例如TargetPoint Consulting和Data Trust，共同建置這個選民分析的資料夾。

這批資料的內容，包含了以公司命名的檔案目錄，內容涵蓋了該公司自2008年、2012年，以及2016年美國總統大選時，收集到的1.98億筆民眾資料，而且不只民眾的姓名、出生日期、住家地址，以及電話號碼等，更出現共和黨用於大數據分析的資料模型。據研究人員調查，上述能提供川普陣營操作選戰運用的個資，直到去年1月川普總統上任之前，都還在更新，但極有可能因組態不當，導致未加以防護。Vickery通報美國警方之後，Deep Root Analytics也證實此事，並修改存取設定，關閉公開存取的管道。

無獨有偶，今年7月，安全研究人員Diachenko指出，提供政治競選活動電話語音行銷服務的Robocent公司，在AWS S3儲存體中，存放了數十萬筆美國民眾的資料，同樣沒有任何的防護措施，而且，這名研究員發現的管道，僅是透過免費的GrayhatWarfare搜尋引擎，以Voters為關鍵字，就找到了Robocent的儲存體，其中總共儲存了2,594個檔案，包含了民眾的全名、住家地址、年齡、性別、教育程度，以及政治傾向等，還有各種政治行銷的電話語音檔案。

值得留意的是，該名研究員前述使用的S3搜尋引擎，可列出所有AWS S3上所有公開的儲存體，並且支援搜尋含有特定字串的內容。換言之，駭客想要找到下手的目標，可能更加容易。而在同月上旬時，GrayhatWarfare找到了7萬個公開的儲存體，到7月19日則剩下4.8萬個，可見當中關閉公開權限的儲存體，其中許多資料應是需要特別加以保護。

一名代號為GrayhatWarfare的研究人員，針對AWS S3機敏資料隨意公開的情況層出不窮，製作了與自己同名的搜尋引擎，藉此讓企業檢查是否曝露公司機密，例如我們以Vote為關鍵字查詢，就會出現各種與競選有關的公開資料。

國防單位照樣無法倖免，雲上資料安全設置難題浮上檯面

但不只是企業委外業務容易導致個資外洩，具備較為嚴格法規要求的政府單位，去年也多次遭到資安公司UpGuard揭露。美國軍情單位將資料放置到AWS S3後，竟然沒有相關防護措施，甚至是最基本的密碼保護也沒有，這也意味著，雲端設定疏失的問題，讓國家機密可能因此外洩。

該公司先是在6月發現一份檔案，經分析後發現應與美國國家地理空間情報局（NGA）有關，內容包含了許多軍事的衛星影像，像是阿富汗戰區與北韓彈道飛彈工廠的監控畫面。

半年之後，UpGuard再次發現，美國國防部將8年監控全球社交網路與新聞輿論的情資，擺放於3個公開的S3儲存體，其中的一個儲存體中，就含有多達18億筆資料。

上述的資料，包含摘錄了新聞網站、評論、論壇，以及社交網站上的內容，而且涵蓋多種語系與國家。雖然這些資料可能不像個資，能夠直接成為詐騙利用的資訊，不過，這也導致媒體嘲諷，美國政府就是想要收集一切的言論。

另一起事件則是在去年11月，現隸屬於美國陸軍情報暨安全司令部的機密資料，竟出現在可公開存取的S3儲存體，研究人員發現共有47個檔案，其中3個可下載。在可下載的檔案中，包含了一個OVA虛擬設備映像檔，以及說明文件。雖然這個OVA檔無法執行，其中大部分的資料，也要透過美國國防部網路才能存取。根據分析，OVA檔案的部分區塊，標示為最高機密等級，另有禁止攜出境外（NOFORN）等級的區域。上述遭揭露的事件，都顯示美國國防部對於雲端資料，可能沒有妥善的管控。

臺灣已傳出雲端資料外洩災情，國內企業無法置身事外

近期國內的集資新創公司貝殼放大發布聲明，表示他們存放在AWS S3網站上的資料遭駭，共約洩漏10萬筆個資，致使許多他們曾經服務過的客戶，都可能面臨個資外洩的情形，其中時代力量、社會民主黨皆已證實，他們有部分個資遭到洩露。

前述將資料儲存在公開的儲存體上，導致任人取用的現象，幾乎是在美國的案例，然而，隨著國內的企業開始接受雲端服務，最近也開始出現本土事件。

群眾集資顧問公司貝殼放大（Backer-Founder）近日在官網上公布，他們旗下建置的線上金流管理工具貝殼集器（Backme），在11月2日凌晨發現，該網站部分放置於AWS S3的個資遭到外洩，疑似由爬蟲網站洩露。

其暴露的資料內容，包含經由該網站提供贊助的使用者，他們的註冊名稱、電子郵件信箱、寄件地址、電話號碼，以及贊助的項目等，雖然該公司強調，使用者的信用卡資料，與貝殼集器帳號的密碼，並未遭到外洩，也聲稱曾經合作過的集資平臺不受影響。然而，曾是該公司客戶的時代力量與社會民主黨，都在臉書證實部分個資因此遭到外洩。

其中，面臨選舉將近，時代力量的情況特別受到關注。該政黨接獲通報後，表示經6萬筆外洩資料比對之後，總共有2,189筆捐款人與線上申請加入黨員的資料，遭到貝殼放大公司的事件影響。這起事件爆發之後，網友抱怨，時代力量連黨員與支持者的個資都無法妥善保護，如何相信能夠做到守護臺灣的訴求？不過，這也突顯企業或是團體中，若是網站與應用系統委外建置，對於使用者的個資，勢必更難以掌握其流向。

整體而言，前述資安人員揭露的事件，多半尚未出現濫用的情事，但是是否已經外流，則不得而知。各界也會質疑這些公司，對於機敏資料缺乏妥善管理，沒有盡到保護的義務。

而且，對於客戶的資料外洩，有些企業可能仍存有並非故意，而認為自己沒有責任的心態。在今年3月，國內出現了因個資外洩的團體集體訴訟首例。因去年5月23日，雄獅旅行社遭駭客入侵，竊取旅客購買機票、訂房，以及自助旅行訂單資料，約36萬筆交易資料外洩，從而導致18名消費者遭到詐騙，總計為3,159,592元，但該公司僅願意以員工優惠價提供旅遊產品等補償，並認為自己也是受害者，消基會認為此風不可長，遂提出團體訴訟，求償3,639,592元。

隨著GDPR等個資保護法規的頒布，不僅要求企業發現資料外洩事件後，必須限時通報，針對企業未盡個資保護的疏失，將面臨集體訴訟與巨額裁罰。

企業無法妥善配置雲端服務中的安全性設定，主要因素仍是操作的門檻極高，再加上IT人員吃緊，企業便難以掌握機敏資料的流向，以及是否得到相關保護。找出這些需要特別加以保護的資料，進一步列管，是當務之急。

AWS S3資料外洩事件頻傳，多起因於權限設定不當

在企業雲端服務的採用上，AWS S3算是相當普遍，其中出現的資料外洩事件，不少是因不當設定導致重要資料曝露，我們整理了自2017年6月起出現的事件與影響規模。

 2017年6月 

Deep Root Analytics

 影響範圍  這間共和黨所屬的資料研究公司將1.1TB、1.9億筆共和黨選民資料，並與分析模型，放置於公開的S3資料夾裡。

美國國防部

 影響範圍  軍事衛星資料公開存放，包括阿富汗戰區的衛星影像、北韓彈道飛彈工廠衛星監控等情資。

 2017年7月 

Verizon

 影響範圍  因承包廠商設置錯誤，導致該電信業者多達1400萬筆用戶資料曝光。

 2017年9月 

華納媒體

 影響範圍  手機App合作廠商BroadSoft線上資料庫設定錯誤，超過400萬名用戶個資，以及合作廠商內部架構遭到洩露。

 2017年10月 

Accenture

 影響範圍  將旗下企業多雲管理平臺用戶資料公開存放在4個S3儲存體，其中一個高達137GB。

 2017年11月 

Uber

 影響範圍  駭客竊取該公司GitHub帳密，進而存取S3上的資料，包含5700萬用戶與60萬名司機個資。

美國國防部

 影響範圍  情資單位收集8年的社群網路言論內容，存放在3個儲存體，其中一個多達18億筆資料。另含有最高機密與禁止境外使用（NOFORN）內容的OVA虛擬機映像檔，可供下載，並附有使用說明文件。

道瓊公司

 影響範圍  美國著名的出版財經信息出版業者洩露讀者個資，該公司確認至少220萬名讀者受到影響。

澳洲廣播公司

 影響範圍  該公司將自2015年以來每日的MySQL備份儲存在公開的S3儲存體，總計約1800份，約影響5萬名用戶。

 2018年2月 

Tesla

 影響範圍  設置於S3的線上資料庫遭到駭客植入挖礦程式，該公司聲稱僅影響該公司的測試車輛，後來證實是前員工所為。

FedEx

 影響範圍  聯邦快遞將併購的Bongo公司客戶資料放到S3，包含約12萬份掃描文件，像是用戶的駕照、申請託運的表單等。

 2018年4月 

LocalBlox

 影響範圍  該公司暗中收集了1.2TB、4800萬筆用戶資訊，來源包括臉書、LinkedIn、推特，以及不動產服務網站等。

 2018年7月 

Robocent

 影響範圍  研究人員使用S3公開資料搜尋引擎GrayhatWarfare，發現數十萬民眾個資遭到曝露。

 2018年9月 

Veeam

 影響範圍  該公司存放在S3上的MongoDB公開資料庫，含有約200GB、超過4.45億筆客戶資料。

 2018年10月 

Pocket iNet

 影響範圍  華盛頓ISP業者曝露73GB公司內部資料，包含大量的明文密碼，以及內部網路架構等資料。

阿瑞克航空

 影響範圍  這間奈及利亞的航空公司把CSV檔案，放在多個公開S3儲存體，其中之一含有逾8萬筆客戶個資與信用卡資料。

 2018年11月 

貝殼放大

 影響範圍  該群眾募資顧問公司發現10萬筆資料外洩，主要曝露的內容，為使用該公司系統進行小額贊助的用戶。