伺服器、儲存、雲端服務組態不當，23億份高敏感資料檔曝光

安全專家發現組態不當的伺服器、雲端服務及儲存系統，包括SMB檔案共享、Amazon S3等，導致高達23億份薪資、信用卡、醫療資訊等極端機密資訊公開於網路上，可能使用戶遭身份濫用、惡意程式攻擊或財務損失等風險。

安全廠商Digital Shadows的Photon 研究小組，偵測到的曝光資料分佈於SMB檔案共享、組態不當的網路儲存（NAS）裝置、FTP與rsync伺服器，以及Amazon S3 儲存貯體（bucket）。研究人員說，這次發現的曝險規模，要比去年4月發現的還要高出7.5億份。

從洩密的服務類型來看，從SMB伺服器曝險的資料比例最大，FTP及rsync伺服器各佔20%和16%。若以地區來看，美國受害最嚴重，有超過3.26億份檔案曝光，居次的法國和日本，則各以1.51億及7,700萬份檔案分居歐亞之冠。

這些資料許多可不是普通資訊，而是極敏感的資料，包括470萬份醫療檔案，如DICOM 醫療影像檔，其中的440萬筆資料可能已經曝光。有些X光及掃瞄檔案還附有患者個人姓名、出生日期與保險資料，可讓駭客讀取隱私資訊、竊取身份、甚至從事網路犯罪。

研究人員還發現一家英國IT顧問公司讓21萬筆用戶檔案不慎曝光，當中包括用戶全名及密碼。另有個人用戶存放相片、護照掃瞄檔、銀行明細單等資訊的伺服器，也公開於網路上。

這些資料不僅是曝光，有的更已經遭到駭客染指。研究人員發現有1,700萬筆檔案已被勒索軟體加密，當中還有不少備份資料。而其中有200萬份是遭到5月間肆虐的MegaLocker變種NamPoHyu的毒手。

不過安全公司也發現業者今年在資料控管表現上，比起去年也有所進步。例如去年11月Amazon推出Block Public Access功能後，使S3資料外洩的檔案數由1,600萬份降到2000份以下。此外，在GDPR上路後，荷蘭及盧森堡資料曝光率也大幅減少。研究人員並指出，若缺乏良好的使用者教育，再好的安全技術也是枉然。