有许多数据的外流源自数据库系统本身的访问未设限,而且又暴露在网际网络上,导致任何人都能随意访问,但如今有数据库的云计算备份不设防,而导致数据曝险的情况。
安全企业Neo Security指出,四大会计师事务所之一的安永(Ernst & Young),在Azure存储桶存放能公开访问的BAK文件,文件大小高达4 TB,此为SQL Server的数据库备份,不仅包含数据库的结构描述,还有可能包含API密钥、连接阶段的权限、用户凭证、身份验证缓存权限,以及服务账号的密码等机密敏感资讯。经过通报后,安永很快完成处理,并感谢Neo Security通报此事。
针对这起事故发生的原因,Neo Security认为与云计算环境架构相当复杂有关,一般的安全评估难以跟上步调。像安永拥有各式资源、安全团队、完整的合规框架、ISO认证,以及充分的预算,仍可能不慎暴露SQL Server数据库备份文件,其他企业组织也有可能出现类似错误。
究竟这些数据暴露了多久,该安全企业表示不清楚,但他们强调这种数据光是暴露5分钟,就有可能造成相当严重的风险。
