圖片來源: 

Group IB

過去多年來,資料庫不設防地暴露於公開網路的問題,已經一再有研究人員對此示警,如今國內發生共享汽車iRent資料曝險事件,由於直接與國人個資外洩有關,讓這類議題再次受到重視。

針對這次iRent事件,企業資料庫配置不當這樣的問題,是我們關注的焦點。

由於iRent的資料庫在存取上沒有任何管控機制,任何能使用網際網路的人,如果有辦法知道系統的所在IP位址就能存取,同時資料庫的存取也沒有設定密碼加密保護,因此該資料庫暴露網際網路上缺乏保護,並且無須經過身分驗證,這對於公司與用戶都是非常危險的情形。

資料庫在網路上裸奔,突顯配置錯誤問題的管理疏失

事實上,早年國際間就有許多關於資料庫、伺服器因不當配置,造成資料外洩或曝險的案例,前幾年iThome曾報導多起事件,特別是2017到2019年間,有許多研究人員揭露相關發現,持續警惕企業注意這類配置不當的問題。

這些資料庫不設防的曝險或資料外洩的事件,iThome在2018年就整理了多起事件,包含MongoDB資料庫、到了2019年,單單是以Elasticsearch資料庫而言,我們同樣報導了不少,包括:本田汽車公司的顧客個資中國獵人頭公司FMC的客戶個人履歷與企業資料美國資料管理業者Data & Leads的美國民眾資料Adobe Creative Cloud的用戶資料厄瓜多政府、金融等公私單位的國民個人資料中國江蘇省公安局的民眾個資與公司行號資料、以及汽車產業行銷業者Dealer Leads的潛在車主名單個資等。

這還只是僅僅數個例子,這也讓我們感到憂心的是,這類問題在五年前或許可能是管理難題與挑戰,現在還是如此嗎?因為,到了最近兩三年其實依然嚴峻,因此資安界也不斷宣導,強調配置錯誤的問題,是雲端安全議題中最普遍的威脅,務必需要重視,甚至後續也有安全廠商提出可以持續偵測錯誤設定的解決方案。

雖然近年這類事件的新聞報導,看似比往年少,但從這次iRent事件來看,過去一再示警的問題,到了2022、2023年依然發生,企業沒有從過去案例學到教訓。

而且,許多資安研究人員也一再強調,任何使用物聯網搜尋引擎Shodan及其他此類平臺,並對於搜尋不安全資料庫略有了解的人,都將能夠輕易存取這些公開在網路上的資訊。

Group-IB在2022月指出一年內發現30多萬資料庫外曝

若是再從資安業者揭露統計與調查結果來看,這類問題的數量更是驚人。根據資安業者Group-IB在2022年4月發布的一項統計,該公司指出,在2021年他們就發現了30,8萬開放在網際網路的資料庫,而且2022年第1季又發現新增了9.1萬個資料庫,等於5季下來共發現了39.9萬個。至於資料庫類型上,以Redis資料庫管理系統最高(37.5%)、第二是MongoDB(31%),第三是Elastic(29%)。此外,以2022年第一季度而言,對於暴露的資料庫,其擁有者平均需要170.2天來修復該問題。

顯然,儘管在五年前就有許多資安研究人員揭露相關問題,但這樣的狀況在全球還是持續發生。

臺灣企業上雲腳步慢,這次事件更是一大警惕

回到這次iRent資料庫公開在網際網路的狀況來看,除了考驗和泰集團、和雲行動服務的資安事件應變能力。在防護改善方面,從2月4日的最新聲明來看,提及執行主機系統弱點掃描及滲透測試,針對App源碼掃描,交易過程採用SSL安全加密與加殼處理,似乎都沒有對應到這次事件的根本問題。

而且我們更在意的是,對於國內普遍企業而言,由於國內企業近年逐漸跟上國際,朝向應用上雲的趨勢,還有混和雲、多雲的型態增加,因此相關問題是否可能會變得更為多見。

儘管過去國際間已有許多案例一再提醒,但多半沒有直接與國人有關,這可能也是未能獲得足夠重視的主因,而現在,國內也有企業發生同樣的情形後,相信對國內企業而言,將帶來更大的警惕,許多國內資安專家可能也將以iRent這次事件為例,來說明雲端配置不當的風險,以及資安事件如何妥善應變。

整體而言,對於企業來說,我們要提醒的是,除了資料庫配置不當的問題,國內近年國內也持續有資安顧問業者呼籲,需提升雲端安全治理的觀念,重視最普遍的配置錯誤問題,且雲端安全配置考量層面應該要更廣,需涵蓋到身分辨識與存取管理、雲端存取、雲端資料中心、紀錄與監控、網路、虛擬機器與應用服務。不僅如此,若是從資料流向與邊界盤點、相關API介接的角度來看,資料庫的安全防護也只是其中一個環節。

若再深入檢視這樣的議題,我們更關心的是,在國內陸續朝向應用上雲的今日,不論企業本身或是委外服務業者,其人才是否具備足夠的雲端管理能力與知識,否則,各種衍生問題可能還是會一再重演。

對於國內個資保護法的探討

雖然我們將這次重點放在資料庫配置不當,但還有一些衍伸議題值得關注,這裡也簡單一提。對於普遍國人而言,也會關心的在於政府個資保護法的效力,是否應該有所檢討,不論是損害賠償,以及行政罰鍰處5萬元以上50萬元以下罰鍰(個資法第47條)、未改正僅罰最高20萬(個資法第48條),還有談論多年的個資獨立專責機關規畫,都再度成為資安圈與法律圈的探討焦點。

若是相對國際來看,以歐洲GDPR為例,最高行政罰金達2000萬歐元(6.7億元),或前一會計年度全球年營業額4%,以巴西個人資料保護法(LGPD)為例,最高行政罰金為5000萬巴西幣(約新臺幣2.9億元),或前一會計年度營業額2%金額。僅僅這兩例就可看出,臺灣的罰金不僅相對較低,而且差距極大。

繼續閱讀:揭露iRent資料庫不設防的研究人員,這兩年還揭露巴西、澳洲、中國的資料庫曝險

熱門新聞

Advertisement