云存儲數據真的安全嗎？

云存儲配置錯誤繼續困擾著數據隱私領域，數據顯示，在網絡上的數百萬人的就業和健康信息流露在暗網等地方，換句話理解，數據對任何互聯網人都是敞開的。

云存儲數據安全

醫療、就業信息數據泄露

近日，美國有家著名招聘公司Ladders，由于其中一個配置錯誤的數據庫顯示出勒索軟件攻擊的證據，導致泄露公司的大量的個人身份信息(PII)：Ladders獵頭和招聘網站以用戶信息。在這種情況下，發現勒索軟件隱藏在混合物中。

此公司是使用的是亞馬遜云數據庫，其中包含1370萬用戶的就業信息，其中包括姓名，電子郵件地址，實際地址和電話號碼。它還包括典型的簡歷費用，例如就業歷史，在某些情況下還包括詳細的職位描述，它還列出了安全許可。另外，該數據庫還保留了379,000名招聘人員不太敏感的細節。

發生數據泄露事件后，公司的首席執行官與AWS服務提供商確認了，管理彈性搜索是安全的，只有內部員工才可以在指定的IP地址訪問。沒有關于信息暴露多長時間或是否被訪問的消息。

無獨有偶。與此同時，美國另外一個屬于佛羅里達州醫療公司的無擔保Elasticsearch數據庫。它包含136,995個明文記錄，包括姓名，出生日期，電話號碼，實際地址，電子郵件地址和醫療狀況信息也遭到大規模泄露。

在數據庫內部是每個成員的文件，其中包含個人身份信息，一些帳戶有醫療信息或關于用戶的注釋，這是一個設置為'打開'并在任何瀏覽器中可見的彈性數據庫(可公開訪問)，任何人都可以編輯，下載甚至刪除沒有管理憑據的數據。

數據庫中存在勒索軟件的證據，這可能是更大曝光的證據。即使有潛伏的這種可能性，公司在無能為力，盡管數據庫在發送信息后仍然是安全的。

醫療數據泄露

數據所有者有義務保護數據

令人遺憾的是，盡管高調的事件似乎每天都在涌現，但云配置問題仍可能繼續存在：許多企業仍然不了解共享責任模型，像AWS這樣的云提供商負責保護云基礎架構本身，但數據所有者負責保護他們選擇在云中托管的信息的機密性，完整性和可用性。

但最重要的是，這是用戶個人信息的數據，無論是否屬于隱私法規，企業有責任在云環境中保護它。公司還應該從錯誤配置很常見的角度來看待云存儲安全性，如果不可能的話。

沒有人是完美的，每個人都會犯錯誤，所以偶然的內部威脅對于控制是很重要的。當然，惡意行為者可能想從公司獲取知識產權，但數據曝光的大部分往往是偶然的。