Group IB
過去多年來,資料庫不設防地暴露於公開網路的問題,已經一再有研究人員對此示警,如今國內發生共享汽車iRent資料曝險事件,由於直接與國人個資外洩有關,讓這類議題再次受到重視。
針對這次iRent事件,企業資料庫配置不當這樣的問題,是我們關注的焦點。
由於iRent的資料庫在存取上沒有任何管控機制,任何能使用網際網路的人,如果有辦法知道系統的所在IP位址就能存取,同時資料庫的存取也沒有設定密碼加密保護,因此該資料庫暴露網際網路上缺乏保護,並且無須經過身分驗證,這對於公司與用戶都是非常危險的情形。
資料庫在網路上裸奔,突顯配置錯誤問題的管理疏失
事實上,早年國際間就有許多關於資料庫、伺服器因不當配置,造成資料外洩或曝險的案例,前幾年iThome曾報導多起事件,特別是2017到2019年間,有許多研究人員揭露相關發現,持續警惕企業注意這類配置不當的問題。
這些資料庫不設防的曝險或資料外洩的事件,iThome在2018年就整理了多起事件,包含MongoDB資料庫、到了2019年,單單是以Elasticsearch資料庫而言,我們同樣報導了不少,包括:本田汽車公司的顧客個資、中國獵人頭公司FMC的客戶個人履歷與企業資料、美國資料管理業者Data & Leads的美國民眾資料,Adobe Creative Cloud的用戶資料、厄瓜多政府、金融等公私單位的國民個人資料、中國江蘇省公安局的民眾個資與公司行號資料、以及汽車產業行銷業者Dealer Leads的潛在車主名單個資等。
這還只是僅僅數個例子,這也讓我們感到憂心的是,這類問題在五年前或許可能是管理難題與挑戰,現在還是如此嗎?因為,到了最近兩三年其實依然嚴峻,因此資安界也不斷宣導,強調配置錯誤的問題,是雲端安全議題中最普遍的威脅,務必需要重視,甚至後續也有安全廠商提出可以持續偵測錯誤設定的解決方案。
雖然近年這類事件的新聞報導,看似比往年少,但從這次iRent事件來看,過去一再示警的問題,到了2022、2023年依然發生,企業沒有從過去案例學到教訓。
而且,許多資安研究人員也一再強調,任何使用物聯網搜尋引擎Shodan及其他此類平臺,並對於搜尋不安全資料庫略有了解的人,都將能夠輕易存取這些公開在網路上的資訊。
Group-IB在2022月指出一年內發現30多萬資料庫外曝
若是再從資安業者揭露統計與調查結果來看,這類問題的數量更是驚人。根據資安業者Group-IB在2022年4月發布的一項統計,該公司指出,在2021年他們就發現了30,8萬開放在網際網路的資料庫,而且2022年第1季又發現新增了9.1萬個資料庫,等於5季下來共發現了39.9萬個。至於資料庫類型上,以Redis資料庫管理系統最高(37.5%)、第二是MongoDB(31%),第三是Elastic(29%)。此外,以2022年第一季度而言,對於暴露的資料庫,其擁有者平均需要170.2天來修復該問題。
顯然,儘管在五年前就有許多資安研究人員揭露相關問題,但這樣的狀況在全球還是持續發生。
臺灣企業上雲腳步慢,這次事件更是一大警惕
回到這次iRent資料庫公開在網際網路的狀況來看,除了考驗和泰集團、和雲行動服務的資安事件應變能力。在防護改善方面,從2月4日的最新聲明來看,提及執行主機系統弱點掃描及滲透測試,針對App源碼掃描,交易過程採用SSL安全加密與加殼處理,似乎都沒有對應到這次事件的根本問題。
而且我們更在意的是,對於國內普遍企業而言,由於國內企業近年逐漸跟上國際,朝向應用上雲的趨勢,還有混和雲、多雲的型態增加,因此相關問題是否可能會變得更為多見。
儘管過去國際間已有許多案例一再提醒,但多半沒有直接與國人有關,這可能也是未能獲得足夠重視的主因,而現在,國內也有企業發生同樣的情形後,相信對國內企業而言,將帶來更大的警惕,許多國內資安專家可能也將以iRent這次事件為例,來說明雲端配置不當的風險,以及資安事件如何妥善應變。
整體而言,對於企業來說,我們要提醒的是,除了資料庫配置不當的問題,國內近年國內也持續有資安顧問業者呼籲,需提升雲端安全治理的觀念,重視最普遍的配置錯誤問題,且雲端安全配置考量層面應該要更廣,需涵蓋到身分辨識與存取管理、雲端存取、雲端資料中心、紀錄與監控、網路、虛擬機器與應用服務。不僅如此,若是從資料流向與邊界盤點、相關API介接的角度來看,資料庫的安全防護也只是其中一個環節。
若再深入檢視這樣的議題,我們更關心的是,在國內陸續朝向應用上雲的今日,不論企業本身或是委外服務業者,其人才是否具備足夠的雲端管理能力與知識,否則,各種衍生問題可能還是會一再重演。
對於國內個資保護法的探討
雖然我們將這次重點放在資料庫配置不當,但還有一些衍伸議題值得關注,這裡也簡單一提。對於普遍國人而言,也會關心的在於政府個資保護法的效力,是否應該有所檢討,不論是損害賠償,以及行政罰鍰處5萬元以上50萬元以下罰鍰(個資法第47條)、未改正僅罰最高20萬(個資法第48條),還有談論多年的個資獨立專責機關規畫,都再度成為資安圈與法律圈的探討焦點。
若是相對國際來看,以歐洲GDPR為例,最高行政罰金達2000萬歐元(6.7億元),或前一會計年度全球年營業額4%,以巴西個人資料保護法(LGPD)為例,最高行政罰金為5000萬巴西幣(約新臺幣2.9億元),或前一會計年度營業額2%金額。僅僅這兩例就可看出,臺灣的罰金不僅相對較低,而且差距極大。
繼續閱讀:揭露iRent資料庫不設防的研究人員,這兩年還揭露巴西、澳洲、中國的資料庫曝險
熱門新聞
2024-12-03
2024-11-29
2024-11-20
2024-12-02
2024-12-02