啪啪打臉,國(guó)際互聯(lián)網(wǎng)協(xié)會(huì)數(shù)據(jù)泄露
數(shù)萬(wàn)名國(guó)際互聯(lián)網(wǎng)協(xié)會(huì)成員的個(gè)人信息因配置錯(cuò)誤而被曝光在互聯(lián)網(wǎng)上。作為互聯(lián)網(wǎng)世界相關(guān)標(biāo)準(zhǔn)的制定、推廣的機(jī)構(gòu),以推動(dòng)互聯(lián)網(wǎng)的發(fā)展為己任,常發(fā)布行業(yè)最佳實(shí)踐供企業(yè)參考,卻也因?yàn)榫W(wǎng)絡(luò)安全漏洞出現(xiàn)信息被泄露事件,讓人頗感尷尬。
國(guó)際互聯(lián)網(wǎng)協(xié)會(huì)(Internet Society,簡(jiǎn)稱ISOC)正式成立于1992年1月,是一個(gè)全球性的互聯(lián)網(wǎng)組織,在推動(dòng)互聯(lián)網(wǎng)全球化,加快網(wǎng)絡(luò)互連技術(shù)、發(fā)展應(yīng)用軟件、提高互聯(lián)網(wǎng)普及率等方面發(fā)揮重要的作用。
2021年12月8日,Clario的安全研究人員在一個(gè)開放且未受保護(hù)的 Microsoft Azure blob 存儲(chǔ)庫(kù)中發(fā)現(xiàn)了大量不安全的數(shù)據(jù),包含數(shù)百萬(wàn)個(gè)文件。隨后,該團(tuán)隊(duì)和獨(dú)立網(wǎng)絡(luò)安全研究員 Bob Diachenko 合作報(bào)告了這一事件。
Bob發(fā)現(xiàn),這些數(shù)據(jù)來(lái)自國(guó)際互聯(lián)網(wǎng)協(xié)會(huì)(ISOC)的成員,數(shù)據(jù)類型包括姓名、性別、地址、電子郵件、登錄賬號(hào)和密碼,且全部存儲(chǔ)在json文件中。對(duì)此,Clario的安全研究人員表示,如此詳細(xì)的信息很有可能來(lái)自國(guó)際互聯(lián)網(wǎng)協(xié)會(huì)(ISOC),這意味著他們的隱私受到嚴(yán)重威脅。
在報(bào)告中,他們補(bǔ)充道,根據(jù)暴露存儲(chǔ)庫(kù)的大小和性質(zhì),我們認(rèn)為所有成員的登錄賬號(hào)和密碼等信息,在未來(lái)的某段時(shí)間內(nèi)暴露在互聯(lián)網(wǎng)上的概率非常大。
在發(fā)現(xiàn)了這一情況后,安全研究人員隨即通過(guò)電子郵件向 ISOC 報(bào)告了這一事件。ISOC則立馬對(duì)泄露事件展開了詳細(xì)的調(diào)查,并著手開始這些數(shù)據(jù)的保護(hù)工作。
一個(gè)星期之后(12月15日),ISOC發(fā)布了泄露事件調(diào)查報(bào)告,將泄露原因歸結(jié)于其管理系統(tǒng)提供商MemberNova的配置錯(cuò)誤,致使部分ISOC成員的信息可以在互聯(lián)網(wǎng)上被公開訪問(wèn)。目前暫未發(fā)現(xiàn)因數(shù)據(jù)泄露而造成其他任何惡意事件,且已經(jīng)將該事件向成員通報(bào)。
Clario安全研究人員認(rèn)為,ISOC發(fā)生如此嚴(yán)重的個(gè)人信息泄露事件實(shí)屬不應(yīng)該,這會(huì)對(duì)ISOC的聲望造成嚴(yán)重影響,并讓ISOC的成員面臨將來(lái)可能出現(xiàn)的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)。
參考來(lái)源:https://www.infosecurity-magazine.com/news/internet-society-data-leaked/