雲泄露：《華爾街日報》母公司道瓊斯220萬客戶信息外泄

E安全7月19日訊網路安全公司UpGuard的網路風險小組發布報告指出，由世界一流的商業財經信息提供商、新聞媒體出版集團道瓊斯公司持有的一套雲文件存儲庫存在配置錯誤，且其中包含的來自數百萬家企業客戶的個人及財務敏感信息以半公開形式接受網路訪問。儘管道瓊斯方面證實至少有220萬客戶受到影響，但根據UpGuard方面的計算，受影響客戶量可能接近400萬。

UpGuard網路風險小組是一個致力於發現網路數據泄露事故的單位，其負責保護敏感信息、防止潛在的濫用風險，以及提高公眾對於數字化時代之下影響數據安全性的各類風險問題的認知。

為何泄露？

此次泄露的數據包括《華爾街日報》以及《巴倫周刊》在內的各道瓊斯公司出版物的數百萬名訂閱者的姓名、地址、帳戶信息、電子郵件地址以及信用卡後四位號碼。

另外，此次一同被暴露在雲端的還有「道瓊斯風險與合規」系列資料庫當中的160萬條記錄，這些資料庫屬於一個僅供企業訂閱的情報項目，用以幫助各金融機構遵循法規以打擊洗錢活動。

此次暴露的數據存儲庫為一個Amazon Web Services S3存儲桶，管理人員通過許可權設置將其配置為允許任何AWS「認證用戶」通過該存儲庫的URL進行數據下載。

根據Amazon方面給出的定義，所謂「認證用戶」是指「任何擁有Amazon AWS帳戶的用戶」，而AWS帳戶免費提供註冊。

此次雲數據泄露事件說明不安全的數據管理機制會帶來持續威脅，而錯誤的安全設置則直接導致數百萬道瓊斯客戶的敏感信息被他人窺探。就此前成功實施攻擊的類似案例來說，這些暴露在雲端的數據很可能被惡意人士所利用。

更為著急的是，道瓊斯公司對這一事故諱莫如深的態度更是致使數據遭遇曝光的客戶無法快速行動以保護自己的個人信息。

發現過程

2017年5月30日晚，UpGuard網路風險研究主管克里斯·維克里發現了一個採用「dj-skynet」子域名且可供AWS認證用戶訪問的Amazon

S3雲數據存儲庫。儘管存儲庫本身的標題與內容指明這部分數據很可能源自道瓊斯，這一點此後也得到了道瓊斯公司首席信息安全官的證實，但其中的「Skynet」——即天網，似乎是指《終結者二：審判日》電影中的毀滅性計算機系統。

今年6月1日，維克里開始下載該存儲庫中的內容，5天之後發現內容不再允許下載。

「dj-skynet「存儲庫當中包含數十個目錄，其中多個文件夾以」build_assets「、」development「、」customerlogin「以及」cust_subscription「等短語命名。在點擊其中第四個文件夾後，可以看到文件夾中包含4個經過壓縮的Apache
Avro文件，總存儲數據有771 MB；其中最小的文件為89 MB，解壓完成後的文件原始大小為2 GB。

table=ics_cust_subscription」文件夾當中的內容

在解壓完成之後，可以看到這些文件屬於由道瓊斯客戶數據組成的四份大型文本日誌，並可輕鬆將其導入資料庫以進行內部記錄與保存。在文本文件當中填充的數據欄位包括客戶姓名、道瓊斯內部客戶ID、家庭與企業地址以及更多帳戶詳細信息，例如客戶註冊訂閱時享受的促銷優惠。而最為關鍵的是，文件當中還包含有客戶信用卡的最後四位數字，以及用於在線登錄其帳戶的電子郵箱地址。一小部分客戶的電話號碼甚至也被納入到文本當中。

道瓊斯公司已經證實稱，此次數據曝光總計影響到220萬名客戶。然而根據存儲庫的大小及組成進行分析，UpGuard小組保守估計受影響客戶數量可能高達400萬，其中可能存在一部分重複訂閱情況。

另一個存儲在主目錄當中的文件夾名為「rnc_watchlist「。儘管道瓊斯公司此前曾經提供名為風險與合規監控列表（Risk
and Compliance
Watchlist）產品，但該文件夾的標題實際上指的可能是道瓊斯的反入侵資料庫套件。該產品以道瓊斯旗下的「風險與合規」品牌進行銷售，且號稱為用戶提供「面向流程、審查與調查的研究工具與外包服務，幫助企業減輕與反洗錢、反賄賂、腐敗乃至經濟制裁等規定相關的第三方風險「，從而「幫助企業更快評估第三方風險並建立起信心」。

此文件夾當中包含21個用於具體解釋該數據集內各項欄位名稱的模式文件，外加一個名為djrc_ac_csv_201603312359_f的.csv文件。此.csv文件中包含160萬行個人或條目，同時亦囊括有對應的別名、組織、業務以及主題背景及個人歷史信息。

風險與合規數據集中反覆出現的幾類欄位

此份列表還包括大量分布於全球各地的金融行業從業人員位置信息，以及眾多聲譽不良的政治黨派; 下圖所示為已故利比亞領導人卡扎菲的相關條目。

風險與合規.csv文件當中關於卡扎菲的相關條目

這組包含160萬條可疑人士及實體的數據與道瓊斯公司對其RiskReports以及RiskCenter等風險與合規工具作出的描述不謀而合，這些平台能夠為用戶提供存在潛在問題的人士及組織的相關信息，幫助其避免與其產生往來。

重大意義

此次雲數據泄露事故再次凸顯出數字化風險領域中的幾大關鍵性難題，這在2017年的數字化發展當中極具重大意義。

雲存儲面臨的挑戰

立足當前，企業在配置當中允許對雲存儲信息進行公開或者半公開訪問已經成為一種非常常見的作法，而這顯然會將客戶的敏感數據暴露在不必要的風險之下。由此引發的濫用威脅真實存在，而隨著網路惡意勢力的迅速發展，攻擊者完全能夠利用這些流出至網路上的用戶信息為自身牟利。

儘管UpGuard小組尚不清楚在相關存儲庫關閉之前，是否已經有惡意人士獲取到道瓊斯雲存儲桶當中的各項數據，但事故的存在已經為網路犯罪分子的潛在惡意活動途徑指明了方向。無論是對於垃圾郵件發送方抑或是數字化營銷人員，此類包含客戶姓名、地址、電子郵箱地址以及部分電話號碼的信息都將極具現實意義，甚至可能引發極為惡劣的影響。

被泄露的數據常規利用方式：釣魚攻擊

惡意軟體將自身偽裝為官方身份並藉此說服用戶提供個人敏感信息的網路釣魚行為當前已然成為主流。

道瓊斯出版物擁有400萬訂閱用戶，相關信息的流出必然導致惡意人士藉此部署新一輪網路釣魚攻擊。《華爾街日報》已經開始發布官方電子郵件，提醒客戶其訂閱已經失效或者帳戶已經被盜用，而惡意人士也完全能夠藉此機會利用類似的方式誘導這些高價值目標提供其信用卡信息甚至是登錄憑證等等。

信用卡信息的重要性

雖然此次信息泄露只涉及客戶信用卡的最後四位數字，但這同樣有可能造成重大損失。2015年出現的一項安全漏洞就允許惡意人士獲取大通銀行或者美國銀行信用卡的最後四位數字，將此與受害者的電話號碼相結合即可實現對帳戶的控制。

企業的安全意識影響事件響應

而最令人擔憂的仍然是道瓊斯公司領導層的回應。雖然企業肯定不希望向客戶通告這樣的事故，但這樣處理的意義在於保證消費者獲得相關數據，進而迅速阻止惡意人士的其它濫用行為。而道瓊斯諱莫如深的處理態度則只會讓情況適得其反。正如英國保險公司The

AA此前遭遇的狀況一樣。該公司曾於今年4月否認其某台伺服器可供公開訪問，然而7月的調查證明這樣的說法根本站不住腳，且該公司超過10萬名客戶的財務信息因此遭到泄露。

而在此次雲數據泄露事件當中，道瓊斯方面的回應同樣非常緩慢，這亦證明除了小型公司之外，世界知名的、甚至是掌控著上層金融世界統治權的巨頭企業同樣在處理客戶數據風險方面表現不力。總而言之，網路風險問題可謂無處不在，其後果可能影響到世界範圍內從鍋爐房到會議室的各類場景。

面對這樣的挑戰，企業必須重新控制自身IT系統，以確保有能力快速發現各類易於預防的錯誤。否則，必將承受成本高昂的數字資產泄露損失。

原文地址：https://www.easyaq.com/news/1258168737.shtml

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考，歡迎關注微信公眾號：E安全 查看更多精彩內容。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！