安全研究人員發(fā)現(xiàn)了一個(gè)錯(cuò)誤配置的招聘數(shù)據(jù)庫(kù)，該數(shù)據(jù)庫(kù)正在洩漏近2600萬(wàn)個(gè)文件，安全專家警告說(shuō)，這種事件越來(lái)越頻繁。

根據(jù)Cybernews的一份報(bào)告，DanceHook（一個(gè)在線申請(qǐng)人跟蹤平臺(tái)將人力資源部門與求職者連接起來(lái)），使一個(gè)Azure Blob存儲(chǔ)容器不當(dāng)配置和公開(kāi)訪問(wèn)。

結(jié)果，數(shù)百萬(wàn)美國(guó)公民的簡(jiǎn)歷被暴露在內(nèi)，包括全名，電子郵件地址，電話號(hào)碼，教育背景，專業(yè)資格和就業(yè)歷史。

Cybernews團(tuán)隊(duì)解釋說(shuō)：“這些裸露的簡(jiǎn)歷中包含的個(gè)人細(xì)節(jié)水平使它們非常適合高度針對(duì)性的網(wǎng)絡(luò)釣魚(yú)攻擊?！?/p>

“電子郵件地址和電話號(hào)碼可以用網(wǎng)絡(luò)釣魚(yú)電子郵件，SMS騙局或旨在欺騙個(gè)人披露敏感數(shù)據(jù)（例如ID掃描或銀行信息）的虛假工作優(yōu)惠來(lái)利用。”

研究人員警告說(shuō)，這些數(shù)據(jù)可能對(duì)針對(duì)求職者的網(wǎng)絡(luò)犯罪分子很有價(jià)值。最近幾個(gè)月，像朝鮮州支持的拉撒路集團(tuán)這樣的團(tuán)體專門針對(duì)求職者。

今年的早期研究揭示了該小組如何使用LinkedIn等平臺(tái)或通過(guò)電子郵件和WhatsApp對(duì)誘餌受害者模仿招聘人員。

加強(qiáng)存儲(chǔ)配置實(shí)踐

Black Duck的軟件供應(yīng)鏈風(fēng)險(xiǎn)負(fù)責(zé)人蒂姆·麥基（Tim Mackey）表示，這一事件強(qiáng)調(diào)了與被忽視的錯(cuò)誤配置相關(guān)的嚴(yán)重風(fēng)險(xiǎn)，並敦促企業(yè)改善其配置管理流程。

他說(shuō)：“配置錯(cuò)誤的系統(tǒng)，VM，容器，微服務(wù)和數(shù)據(jù)庫(kù)不是新問(wèn)題?！?/p>

“例如，來(lái)自此漏洞的示例數(shù)據(jù)顯示了蒙版的標(biāo)識(shí)符，例如電子郵件地址和手機(jī)號(hào)碼，這表明這些字段沒(méi)有加密，或者不安全的API也可能導(dǎo)致洩漏?！?/p>

Huntress安全運(yùn)營(yíng)高級(jí)經(jīng)理Dray Agha支持Mackey的觀點(diǎn)，強(qiáng)調(diào)這樣的事件正在越來(lái)越常規(guī)。

Agha說(shuō)：“像在這種情況下暴露的Azure容器一樣，雲(yún)存儲(chǔ)錯(cuò)誤的存儲(chǔ)空間是一個(gè)令人震驚的常見(jiàn)和可避免的問(wèn)題，尤其是在處理敏感個(gè)人數(shù)據(jù)的組織中?！?/p>

“組織必須進(jìn)行定期配置審核，採(cǎi)用最小特權(quán)訪問(wèn)政策，並保持連續(xù)監(jiān)控，以防止大規(guī)模接觸個(gè)人信息。”

Cybernews團(tuán)隊(duì)表示，他們已經(jīng)與TalentHook聯(lián)繫，並建議該公司調(diào)整訪問(wèn)設(shè)置以限制公共訪問(wèn)並確保容器的安全，同時(shí)還可以更新權(quán)限以確保只有授權(quán)的用戶或服務(wù)才能訪問(wèn)數(shù)據(jù)。

請(qǐng)務(wù)必在Google News上關(guān)注PHP.CN，以獲取我們所有最新更新，專家分析和評(píng)論。

以上是當(dāng)一家招聘軟件公司留下了一個(gè)錯(cuò)誤配置的Azure容器Open＆ndash;當(dāng)招聘軟件公司露出2600萬(wàn)個(gè)簡(jiǎn)歷。網(wǎng)絡(luò)安全專家警告說(shuō)，這是一個(gè)簡(jiǎn)單的錯(cuò)誤，變得太普遍了的詳細(xì)內(nèi)容。更多資訊請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！