全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析報(bào)告（第六期）關(guān)于綠盟科技綠盟科技集團(tuán)股份有限公司（以下簡(jiǎn)稱綠盟科技），成立于2000年4月，總部位于北京。公司于2014年1月29日起在深圳證券交易所創(chuàng)業(yè)板上市，證券代碼：300369。綠盟科技在國內(nèi)設(shè)有40多個(gè)分支機(jī)構(gòu)，為政府、運(yùn)營商、金融、能源、互聯(lián)網(wǎng)以及教育、醫(yī)療等行業(yè)用戶，提供全線網(wǎng)絡(luò)安全產(chǎn)品、全方位安全解決方案和體系化安全運(yùn)營服務(wù)。公司在美國硅谷、日本東京、英國倫敦、新加坡設(shè)立海外子公司，深入開展全球業(yè)務(wù)，打造全球網(wǎng)絡(luò)安全行業(yè)的中國品牌。關(guān)于星云實(shí)驗(yàn)室綠盟科技星云實(shí)驗(yàn)室專注于云計(jì)算安全、云原生安全、解決方案研究與虛擬化網(wǎng)絡(luò)安全問題研究?；贗aaS環(huán)境，結(jié)合SDN/NFV等新技術(shù)，提出軟件定義安全的云防護(hù)體系。已承擔(dān)并完成多項(xiàng)國家級(jí)、省市級(jí)及行業(yè)重點(diǎn)課題，成功孵化綠盟科技云安全及云原生安全解決方案。創(chuàng)新研究方向涵蓋云上風(fēng)險(xiǎn)發(fā)現(xiàn)、云原生攻防靶場(chǎng)、攻擊套件、API安全及入侵模擬等。版權(quán)聲明本文中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明，版權(quán)均屬綠盟科技所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。任何個(gè)人、機(jī)構(gòu)未經(jīng)綠盟科技的書面授權(quán)許可，不得以任何方式復(fù)制或引用本文的任何片斷。前言01全球3-6月云上數(shù)據(jù)泄露典型事件解讀1事件一.尼日利亞社會(huì)投資協(xié)調(diào)平臺(tái)泄露數(shù)千萬公民的個(gè)人身份信息2事件二.澳大利亞專業(yè)工具零售公司SydneyTools泄露數(shù)千萬在線訂單信息3事件三.勒索軟件團(tuán)伙CL0P利用了Cleo零日漏洞引發(fā)赫茲租車遭重大數(shù)據(jù)泄露5事件四.黑客在一年多的時(shí)間里侵入了聯(lián)邦銀行監(jiān)管機(jī)構(gòu)最高官員的電子郵件賬戶和15萬名員工的電子郵件8事件五.車輛跟蹤服務(wù)提供商N(yùn)exOpt泄露約1TB來自世界各地的位置信息和行駛數(shù)據(jù)11事件六.國內(nèi)某大學(xué)重點(diǎn)實(shí)驗(yàn)室向量數(shù)據(jù)庫存在數(shù)據(jù)泄露風(fēng)險(xiǎn)13事件七.GitHubMCP漏洞影響深遠(yuǎn)，或引發(fā)供應(yīng)鏈安全危機(jī)15事件八.微軟OneDrive被曝向AI聊天機(jī)器人開放用戶文件完全讀取權(quán)限17事件九.微軟DefenderXDR誤報(bào)致1700+敏感文件誤傳ANY.RUN，隱私設(shè)置缺陷致數(shù)據(jù)公開暴露19事件十.黑客利用微軟SharePoint版CopilotAI漏洞竊取密碼及敏感數(shù)據(jù)2102安全建議242.1針對(duì)雜項(xiàng)錯(cuò)誤類的安全建議252.2針對(duì)系統(tǒng)入侵的安全建議282.3針對(duì)遺失和被盜竊的資產(chǎn)的安全建議2804參考文獻(xiàn)33全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）本報(bào)告為綠盟科技創(chuàng)新研究院發(fā)布的第六期云上數(shù)據(jù)泄露簡(jiǎn)報(bào)，聚焦2025年3-6月期間的全球云上數(shù)據(jù)泄露事件。鑒于多數(shù)事件成因相似，我們精選了10起典型案例進(jìn)行深入分析，以全面呈現(xiàn)云上數(shù)據(jù)泄露的整體態(tài)勢(shì)。值得注意的是，其中4起事件與大模型技術(shù)密切相關(guān)，凸顯了隨著Deepseek、Ollama等開源模型的廣泛應(yīng)用，云上數(shù)據(jù)安全正面臨顯著的“AI驅(qū)動(dòng)型風(fēng)險(xiǎn)”。從事件成因來看，4起事件源于配置錯(cuò)誤，4起由系統(tǒng)入侵引發(fā)，由此可見，云租戶配置和供應(yīng)鏈安全以及社工類攻擊仍是導(dǎo)致數(shù)據(jù)泄露的主要因素。?2025綠盟科技全球3-6月云上數(shù)據(jù)泄露典型事件解讀?2025綠盟科技全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）?2025綠盟科技事件一：尼日利亞社會(huì)投資協(xié)調(diào)平臺(tái)泄露數(shù)千萬公民的個(gè)人身份信息事件時(shí)間：2025年3月泄露規(guī)模：約2300萬份社會(huì)福利申請(qǐng)表，包括護(hù)照、住址、出生證明、教育證明等信息事件回顧：2025年3月，Cybernews研究團(tuán)隊(duì)發(fā)現(xiàn)一個(gè)暴露的AmazonS3對(duì)象存儲(chǔ)服務(wù)，并定位到該服務(wù)歸屬于NASIMS尼日利亞社會(huì)投資協(xié)調(diào)平臺(tái)。該對(duì)象存儲(chǔ)服務(wù)中存儲(chǔ)了超過2300萬份文件，包括護(hù)照、出生證明、教育證明以及NPower提交的申請(qǐng)等。NPower是一項(xiàng)旨在解決青年失業(yè)問題的社會(huì)福利計(jì)劃。NPower申請(qǐng)人使用NASIMS平臺(tái)申請(qǐng)加入該計(jì)劃。Cybernews研究團(tuán)隊(duì)多次聯(lián)系NASIMS管理人員和尼日利亞相關(guān)部門進(jìn)行治理，該數(shù)據(jù)泄露事件已于3月31日得到解決。事件分析：AmazonS3是亞馬遜云提供的一項(xiàng)對(duì)象存儲(chǔ)服務(wù)，它提供了可配置的安全性、數(shù)據(jù)保護(hù)、合規(guī)性和訪問控制功能保護(hù)用戶的數(shù)據(jù)安全。對(duì)于S3對(duì)象存儲(chǔ)服務(wù)的訪問，Amazon并未強(qiáng)制要求配置訪問控制策略，用戶仍可以配置對(duì)象存儲(chǔ)服務(wù)的公開訪問。導(dǎo)致此次數(shù)據(jù)泄露事件的主要原因是服務(wù)配置錯(cuò)誤。尼日利亞社會(huì)投資協(xié)調(diào)平臺(tái)未對(duì)其使用的AmazonS3對(duì)象存儲(chǔ)服務(wù)配置安全的訪問控制策略，導(dǎo)致任何人均可公開訪問該對(duì)象存儲(chǔ)服務(wù)，可能包含惡意攻擊者。VERIZON事件分類：MiscellaneousErrors（雜項(xiàng)錯(cuò)誤）所用MITREATT&CK技術(shù)：技術(shù)子技術(shù)利用方式T1593搜索開放網(wǎng)站/域.002搜索引擎攻擊者可能利用網(wǎng)絡(luò)空間搜索引擎進(jìn)行情報(bào)收集。T1133外部遠(yuǎn)程服務(wù)N/A攻擊者識(shí)別暴露服務(wù)中的AmazonS3對(duì)象存儲(chǔ)服務(wù)。T1587開發(fā)功能.004利用工具攻擊者開發(fā)對(duì)暴露服務(wù)進(jìn)行安全測(cè)試的工具。T1530云存儲(chǔ)中的數(shù)據(jù)N/A攻擊者訪問AmazonS3對(duì)象存儲(chǔ)服務(wù)的數(shù)據(jù)。T1567通過Web服務(wù)外泄N/A攻擊者可能利用Web服務(wù)進(jìn)行數(shù)據(jù)竊取。參考鏈接：/security/government-data-leak-nasims-citizen-records/全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）?2025綠盟科技事件二：澳大利亞專業(yè)工具零售公司SydneyTools泄露數(shù)千萬在線訂單信息事件時(shí)間：2025年3月泄露規(guī)模：超5000條公司員工信息、超3400萬條訂單信息事件回顧：2025年3月，Cybernews研究團(tuán)隊(duì)發(fā)現(xiàn)一個(gè)暴露的ClickHouse服務(wù)，并定位到該服務(wù)歸屬于澳大利亞專業(yè)工具、裝備零售公司SydneyTools。暴露的ClickHouse服務(wù)包含超過5000條公司員工個(gè)人身份信息，包含姓名、工作部門、薪資以及KPI情況。除此之外，該服務(wù)中還包含了超3400萬條在線訂單信息，包含消費(fèi)者姓名、電子郵件、家庭住址、聯(lián)系方式及購買商品情況等。事件發(fā)生后，Cybernews研究團(tuán)隊(duì)層多次嘗試聯(lián)系該公司，但暴露的實(shí)例并未關(guān)閉，這意味著數(shù)據(jù)泄露至今仍在繼續(xù)。事件分析：ClickHouse是一個(gè)開源的列式數(shù)據(jù)庫管理系統(tǒng)(DBMS),專為在線分析處理(OLAP)設(shè)計(jì)。它能夠高效處理大規(guī)模數(shù)據(jù)，支持實(shí)時(shí)查詢和分析，適用于日志分析、用戶行為分析等場(chǎng)景。ClickHouse存在未授權(quán)訪問漏洞，對(duì)于一個(gè)未添加任何訪問控制機(jī)制的ClickHouse服務(wù)，任意用戶可以通過該服務(wù)暴露的API接口執(zhí)行類SQL命令。全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）?2025綠盟科技導(dǎo)致此次SydneyTools公司數(shù)據(jù)泄露風(fēng)險(xiǎn)事件的主要原因?yàn)槠涫褂玫腃lickHouse數(shù)據(jù)庫存在的未授權(quán)訪問漏洞。ClickHouse服務(wù)如果允許外網(wǎng)訪問且沒有做安全認(rèn)證，就會(huì)被互聯(lián)網(wǎng)用戶任意訪問，查看所有數(shù)據(jù)。攻擊者可能通過OSINT方式，發(fā)現(xiàn)互聯(lián)網(wǎng)中暴露的ClickHouse資產(chǎn)，并進(jìn)一步利用未授權(quán)訪問漏洞，通過ClickHouse服務(wù)開放的接口對(duì)數(shù)據(jù)庫進(jìn)行增刪改查操作，實(shí)施數(shù)據(jù)竊取，引發(fā)數(shù)據(jù)泄露事件。VERIZON事件分類：MiscellaneousErrors（雜項(xiàng)錯(cuò)誤）所用MITREATT&CK技術(shù)：導(dǎo)致此次數(shù)據(jù)泄露事件的主要原因是服務(wù)配置錯(cuò)誤。尼日利亞社會(huì)投資協(xié)調(diào)平臺(tái)未對(duì)其使用的AmazonS3對(duì)象存儲(chǔ)服務(wù)配置安全的訪問控制策略，導(dǎo)致任何人均可公開訪問該對(duì)象存儲(chǔ)服務(wù)，可能包含惡意攻擊者。VERIZON事件分類：MiscellaneousErrors（雜項(xiàng)錯(cuò)誤）所用MITREATT&CK技術(shù)：技術(shù)子技術(shù)利用方式T1593搜索開放網(wǎng)站/域.002搜索引擎攻擊者可能利用網(wǎng)絡(luò)空間搜索引擎進(jìn)行情報(bào)收集。T1133外部遠(yuǎn)程服務(wù)N/A攻擊者識(shí)別暴露服務(wù)中的AmazonS3對(duì)象存儲(chǔ)服務(wù)。T1587開發(fā)功能.004利用工具攻擊者開發(fā)對(duì)暴露服務(wù)進(jìn)行安全測(cè)試的工具。T1530云存儲(chǔ)中的數(shù)據(jù)N/A攻擊者訪問AmazonS3對(duì)象存儲(chǔ)服務(wù)的數(shù)據(jù)。T1567通過Web服務(wù)外泄N/A攻擊者可能利用Web服務(wù)進(jìn)行數(shù)據(jù)竊取。參考鏈接：/security/government-data-leak-nasims-citizen-records/全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）?2025綠盟科技事件三：勒索軟件團(tuán)伙CL0P利用了Cleo零日漏洞引發(fā)赫茲租車遭重大數(shù)據(jù)泄露事件時(shí)間：2025年4月泄露規(guī)模：大量赫茲租車客戶隱私信息包括姓名、聯(lián)系信息、駕照、社會(huì)保險(xiǎn)號(hào)、護(hù)照、醫(yī)療保險(xiǎn)等敏感信息泄露事件回顧：2024年末，全球知名汽車租賃公司赫茲（Hertz）爆發(fā)重大數(shù)據(jù)泄露事件。黑客組織CL0P利用赫茲合作供應(yīng)商—文件傳輸平臺(tái)CleoCommunications的關(guān)鍵零日漏洞（CVE-2024-50623），在2024年10月至12月期間非法訪問系統(tǒng)，竊取了數(shù)十萬客戶的個(gè)人信息。赫茲于2025年2月10日首次公開確認(rèn)數(shù)據(jù)被未經(jīng)授權(quán)第三方獲取，隨后進(jìn)行深入調(diào)查，并于2025年4月2日公布詳細(xì)報(bào)告。泄露影響赫茲旗下品牌Hertz、Dollar和Thrifty的客戶，涉及信息包括姓名、聯(lián)系方式、出生日期、信用卡信息、駕駛執(zhí)照信息以及與工傷賠償相關(guān)的敏感數(shù)據(jù)。更嚴(yán)重的是，少部分客戶的社會(huì)安全號(hào)碼、護(hù)照信息及醫(yī)療保險(xiǎn)ID也被竊取。赫茲雖未發(fā)現(xiàn)數(shù)據(jù)被濫用的直接證據(jù)，但事件規(guī)模和敏感性引發(fā)廣泛用戶擔(dān)憂。作為補(bǔ)救措施，赫茲為受影響客戶提供了為期兩年的免費(fèi)身份監(jiān)測(cè)服務(wù)，并建議用戶定期檢查信用報(bào)告和賬戶活動(dòng)，以防范潛在身份盜竊風(fēng)險(xiǎn)。全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）?2025綠盟科技事件分析：事件的根本原因是赫茲合作供應(yīng)商CleoCommunications的文件傳輸平臺(tái)存在嚴(yán)重安全漏洞，具體表現(xiàn)為零日漏洞CVE-2024-50623被惡意利用。詳細(xì)分析如下：漏洞技術(shù)細(xì)節(jié)與利用過程：漏洞本質(zhì)：CVE-2024-50623是一個(gè)未公開的零日漏洞，存在于Cleo文件傳輸平臺(tái)的軟件架構(gòu)中。該漏洞允許攻擊者繞過認(rèn)證機(jī)制，非法訪問系統(tǒng)并執(zhí)行遠(yuǎn)程代碼。具體而言，漏洞源于軟件中的自動(dòng)運(yùn)行功能缺陷，攻擊者可通過惡意文件觸發(fā)該功能，在服務(wù)器上執(zhí)行任意命令，從而獲得系統(tǒng)控制權(quán)。攻擊鏈：黑客組織CL0P在2024年10月至12月期間利用此漏洞入侵Cleo平臺(tái)。安全研究機(jī)構(gòu)Huntress的分析顯示，CL0P首先通過漏洞植入惡意后門，持續(xù)監(jiān)視并竊取傳輸中的客戶數(shù)據(jù)；隨后，他們繞過Cleo發(fā)布的初步補(bǔ)?。ㄑa(bǔ)丁未能完全修復(fù)漏洞），利用自動(dòng)運(yùn)行缺陷擴(kuò)大攻擊面，最終竊取包括信用卡信息和社會(huì)安全號(hào)碼在內(nèi)的敏感數(shù)據(jù)。漏洞修復(fù)失?。篊leo雖在事件后發(fā)布補(bǔ)丁，但補(bǔ)丁存在設(shè)計(jì)缺陷，導(dǎo)致攻擊者仍能通過變種攻擊繞過防護(hù)機(jī)制。這突顯了第三方軟件在漏洞管理上的不足，例如未進(jìn)行充分的安全測(cè)試和漏洞評(píng)估。供應(yīng)鏈安全管理薄弱：事件暴露了赫茲在供應(yīng)鏈安全管理上的重大缺陷。赫茲過度依賴Cleo這類第三方供應(yīng)商，卻未嚴(yán)格執(zhí)行安全審查機(jī)制，如未對(duì)Cleo軟件進(jìn)行定期滲透測(cè)試或漏洞掃描。供應(yīng)鏈環(huán)節(jié)的脆弱性使黑客得以通過單一漏洞橫向滲透至赫茲核心系統(tǒng)。風(fēng)險(xiǎn)評(píng)估不足：企業(yè)對(duì)第三方軟件的依賴缺乏風(fēng)險(xiǎn)控制策略，例如未建立供應(yīng)商安全評(píng)估框架或?qū)崟r(shí)監(jiān)控機(jī)制。這導(dǎo)致Cleo漏洞未被及時(shí)發(fā)現(xiàn)，攻擊窗口長(zhǎng)達(dá)數(shù)月。此次事件由俄羅斯關(guān)聯(lián)的勒索軟件組織CL0P操控，該團(tuán)伙是近年來全球最具破壞性的模式，通過雙重勒索策略——先加密數(shù)據(jù)，再威脅公開竊取的信息——向全球企業(yè)施壓。值得注意的是，這已是該組織的慣用伎倆：早在2023年，CL0P就曾利用MOVEit文件傳輸系統(tǒng)的零日漏洞（CVE-2023-34362）發(fā)起大規(guī)模供應(yīng)鏈攻擊，波及殼牌、德意志銀行、BBC等900多家機(jī)構(gòu)，影響超2000萬人。此次攻擊再次印證了該組織偏好針對(duì)文件傳輸系統(tǒng)的漏洞，利用成熟攻擊框架實(shí)施精準(zhǔn)打擊。全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）?2025綠盟科技VERIZON事件分類：SystemIntrusion（系統(tǒng)入侵）所用MITREATT&CK技術(shù)：技術(shù)子技術(shù)利用方式T1595主動(dòng)掃描.002漏洞掃描通過零日漏洞，對(duì)互聯(lián)網(wǎng)可能包含的Cleo服務(wù)進(jìn)行漏洞驗(yàn)證，提取出包含漏洞的Cleo服務(wù)地址T1587開發(fā)功能.001惡意軟件攻擊者開發(fā)惡意代碼，主要用于利用零日漏洞從Cleo中未授權(quán)下載大量敏感信息T1195供應(yīng)鏈攻擊.002入侵軟件供應(yīng)鏈將開發(fā)的惡意代碼進(jìn)行廣撒網(wǎng)，入侵軟件供應(yīng)鏈，包括操作應(yīng)用程序源碼、操作軟件更新/發(fā)布機(jī)制T1020自動(dòng)泄露N/A攻擊者在勒索前竊取敏感數(shù)據(jù)T1486為影響而加密的數(shù)據(jù)N/A攻擊者執(zhí)行勒索參考鏈接：https://hackernews.cc/archives/58342/blog/news/2025/04/hertz-data-breach-caused-by-cl0p-ransomware-attack-on-vendor全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）?2025綠盟科技行監(jiān)管機(jī)構(gòu)最高官員的電子郵件賬戶和15事件時(shí)間：2025年3月泄露規(guī)模：約103家銀行監(jiān)管機(jī)構(gòu)，15萬名員工的電子郵件事件回顧：此次入侵事件始于2023年5月，攻擊者入侵了美國貨幣監(jiān)理署（OCC）一名管理員的賬戶；微軟安全團(tuán)隊(duì)于2025年2月12日向OCC通報(bào)異常網(wǎng)絡(luò)行為，OCC隨后確認(rèn)存在未經(jīng)授權(quán)的活動(dòng)；2025年2月26日，OCC公開披露事件，稱少量高管及關(guān)鍵崗位（如高級(jí)副審計(jì)長(zhǎng)、國際銀行監(jiān)管機(jī)構(gòu)）的郵箱遭入侵，泄露信息包含金融機(jī)構(gòu)財(cái)務(wù)狀況等高度敏感數(shù)據(jù)；2025年4月8日，OCC向國會(huì)提交的信函中指出，泄露內(nèi)容若被濫用，可能引發(fā)公眾對(duì)金融體系穩(wěn)定性的質(zhì)疑，甚至為后續(xù)針對(duì)性攻擊提供關(guān)鍵情報(bào)。攻擊者通過控制管理員權(quán)限，系統(tǒng)性獲取了監(jiān)管機(jī)構(gòu)在銀行檢查與監(jiān)督中使用的核心信息。這些數(shù)據(jù)涉及數(shù)萬億美元資產(chǎn)的國家銀行、聯(lián)邦儲(chǔ)蓄協(xié)會(huì)及外國銀行分支機(jī)構(gòu)，可能對(duì)金融行業(yè)公信力造成顯著威脅。整個(gè)事件中，攻擊者長(zhǎng)期監(jiān)控并訪問了約15萬封員工電子郵件及附件，持續(xù)至2025年初才被清除。全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）?2025綠盟科技事件分析：此次攻擊的核心在于攻擊者通過獲取管理員賬戶權(quán)限，逐步滲透至美國貨幣監(jiān)理署（OCC）的內(nèi)部郵件系統(tǒng)，形成長(zhǎng)期隱蔽的訪問能力。初始入侵階段，攻擊者可能采用以下手段獲取管釣魚攻擊或憑證竊?。汗粽咄ㄟ^向目標(biāo)發(fā)起定向釣魚攻擊，竊取重要系統(tǒng)憑證；或利用已泄露的憑證庫匹配賬戶信息；權(quán)限濫用或漏洞利用：若管理員賬戶存在弱密碼或未啟用多因素認(rèn)證（MFA攻擊者可利用暴力破解或利用系統(tǒng)漏洞（如未修補(bǔ)的遠(yuǎn)程訪問漏洞）直接接管賬戶；供應(yīng)鏈攻擊：通過入侵第三方服務(wù)提供商（如IT運(yùn)維廠商）間接獲取目標(biāo)的系統(tǒng)憑證。一旦控制管理員賬戶，攻擊者通過權(quán)限提升與橫向移動(dòng)控制其他賬戶和系統(tǒng)：郵箱監(jiān)控與數(shù)據(jù)收集：利用管理員權(quán)限訪問郵件服務(wù)器，定向監(jiān)控高管（如高級(jí)副審計(jì)長(zhǎng)）及國際銀行監(jiān)管部門的郵箱，篩選含“財(cái)務(wù)報(bào)表”“監(jiān)管報(bào)告”等關(guān)鍵詞的敏感郵件及附件；持久化駐留：為規(guī)避檢測(cè)，攻擊者可能植入后門程序、創(chuàng)建隱蔽賬戶或定期清除日志，并通過加密通信將數(shù)據(jù)外傳至受控服務(wù)器；時(shí)間跨度策略：攻擊從2023年5月持續(xù)至2025年初，期間采取低頻、分批竊取數(shù)據(jù)的方式，降低異常流量觸發(fā)警報(bào)的風(fēng)險(xiǎn)。從技術(shù)特征看，此次攻擊具備國家級(jí)APT組織的典型行為模式：高度定向性：攻擊者精準(zhǔn)鎖定OCC這一監(jiān)管核心機(jī)構(gòu)，目標(biāo)直指金融機(jī)構(gòu)的監(jiān)管數(shù)據(jù)（如銀行資產(chǎn)詳情、風(fēng)險(xiǎn)評(píng)估報(bào)告此類信息可被用于分析美國金融體系弱點(diǎn)，或?yàn)楹罄m(xù)經(jīng)濟(jì)制裁、市場(chǎng)操縱提供依據(jù)；長(zhǎng)期潛伏與低強(qiáng)度滲透：近兩年的攻擊周期表明，攻擊者不以“破壞”為目標(biāo)，而是追求持續(xù)的情報(bào)積累，這與間諜活動(dòng)的戰(zhàn)略目標(biāo)一致；規(guī)避防御的精細(xì)化操作：通過控制管理員賬戶而非普通員工賬號(hào)，攻擊者可利用合法權(quán)限掩蓋惡意行為，繞過基于異常登錄地點(diǎn)的檢測(cè)機(jī)制。VERIZON事件分類：SystemIntrusion（系統(tǒng)入侵）所用MITREATT&CK技術(shù)：全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）?2025綠盟科技技術(shù)子技術(shù)利用方式T1566網(wǎng)絡(luò)釣魚N/A攻擊者可能通過定向釣魚發(fā)起攻擊。T1078有效賬戶.003本地帳戶攻擊者通過釣魚攻擊拿到管理員的系統(tǒng)憑證。T1021遠(yuǎn)程服務(wù)N/A以管理員身份通過遠(yuǎn)程服務(wù)訪問其他系統(tǒng)進(jìn)行橫向移動(dòng)。T1078有效賬戶.003本地帳戶攻擊者通過已控制的管理員賬戶權(quán)限，直接訪問郵件服務(wù)器資源，獲取其他系統(tǒng)賬戶。T1114電子郵件收集N/A定向收集敏感郵件及附件。T1020自動(dòng)滲出N/A定期外泄敏感數(shù)據(jù)。參考鏈接：/world/united-states/hackers-spied-on-100-us-bank-regulators-e-mails-for-over-a-year全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）?2025綠盟科技事件五：車輛跟蹤服務(wù)提供商N(yùn)exOpt泄露約1TB來自世界各地的位置信息和行駛數(shù)據(jù)事件時(shí)間：2025年3月泄露規(guī)模：30萬輛汽車信息和數(shù)百萬次行程信息事件回顧：2025年2月，Cybernews研究團(tuán)隊(duì)發(fā)現(xiàn)一個(gè)暴露的Kibana實(shí)例，并定位到該實(shí)例歸屬于車輛跟蹤服務(wù)提供商N(yùn)exOpt。NexOpt利用遙感技術(shù)，提供卡車運(yùn)輸公司、物流公司等船舶和車輛的位置追蹤服務(wù)。暴露的Kibana實(shí)例中包含近1TB的數(shù)據(jù)，約30萬輛汽車和數(shù)百萬次行程信息，包括車輛識(shí)別號(hào)(VIN)、實(shí)時(shí)船舶和車輛位置以及其他隱私信息。暴露的大多數(shù)位置信息、行駛數(shù)據(jù)都與德國南部及其鄰國相關(guān)，但也少部分信息與美國、俄羅斯等相關(guān)。2025年3月，經(jīng)過Cybernews研究團(tuán)隊(duì)多次與NexOpt公司和相關(guān)CERT聯(lián)系后，該暴露的Kibana實(shí)例已被關(guān)閉，泄露停止。全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）?2025綠盟科技事件分析：Kibana是一款管理Elasticsearch數(shù)據(jù)與ElasticStack的工具。用戶可以通過Kibana分析和可視化存儲(chǔ)在Elasticsearch中的數(shù)據(jù)。Kibana還集成了Elastic的搜索、可觀測(cè)性和安全解決方案，為用戶提供全方位的功能支持。導(dǎo)致此次Qdrant數(shù)據(jù)泄露風(fēng)險(xiǎn)事件的主要原因?yàn)镵ibana存在的未授權(quán)訪問漏洞。Kibana如果允許外網(wǎng)訪問且沒有做安全登錄認(rèn)證，就會(huì)被互聯(lián)網(wǎng)用戶任意訪問，查看所有數(shù)據(jù)。攻擊者可以通過OSINT方式，發(fā)現(xiàn)互聯(lián)網(wǎng)中暴露的Kibana資產(chǎn)，并利用Kibana未授權(quán)訪問漏洞實(shí)施數(shù)據(jù)竊取，引發(fā)數(shù)據(jù)泄露事件。VERIZON事件分類：MiscellaneousErrors（雜項(xiàng)錯(cuò)誤）所用MITREATT&CK技術(shù)：技術(shù)子技術(shù)利用方式T1593搜索開放網(wǎng)站/域.002搜索引擎攻擊者可能利用網(wǎng)絡(luò)空間搜索引擎進(jìn)行情報(bào)收集。T1133外部遠(yuǎn)程服務(wù)N/A攻擊者識(shí)別暴露服務(wù)中的Kibana服務(wù)。T1587開發(fā)功能.004利用工具攻擊者開發(fā)對(duì)暴露Kibana服務(wù)進(jìn)行利用的工具。T1530云存儲(chǔ)中的數(shù)據(jù)N/A攻擊者訪問Kibana服務(wù)中的數(shù)據(jù)。T1567通過Web服務(wù)外泄N/A攻擊者可能利用Kibana服務(wù)進(jìn)行數(shù)據(jù)竊取。參考鏈接：/security/nexopt-data-leak-exposes-locations-vehicles/全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）?2025綠盟科技事件六：國內(nèi)某大學(xué)重點(diǎn)實(shí)驗(yàn)室向量數(shù)據(jù)庫存在數(shù)據(jù)泄露風(fēng)險(xiǎn)事件時(shí)間：2025年3月泄露規(guī)模：數(shù)百條AI應(yīng)用知識(shí)庫/訓(xùn)練數(shù)據(jù)事件回顧：2025年3月，綠盟科技創(chuàng)新研究院發(fā)現(xiàn)一個(gè)部署在阿里云上的Qdrant向量數(shù)據(jù)庫服務(wù)，且未存在任何有效訪問控制和認(rèn)證機(jī)制。任意互聯(lián)網(wǎng)用戶，包含惡意攻擊者，可以通過Qdrant的RestfulAPI對(duì)其中的向量數(shù)據(jù)、源數(shù)據(jù)進(jìn)行任意訪問。暴露向量數(shù)據(jù)庫中包含了數(shù)百條用于構(gòu)建、訓(xùn)練AI應(yīng)用的向量數(shù)據(jù)。研究員通過技術(shù)手段定位到該鏡像倉庫的歸屬組織機(jī)構(gòu)為某大學(xué)重點(diǎn)實(shí)驗(yàn)室后，第一時(shí)間將此情報(bào)通報(bào)給相關(guān)單位進(jìn)行治理。事件分析：Qdrant是一款向量相似性搜索引擎和向量數(shù)據(jù)庫。它提供了一套可直接投入生產(chǎn)環(huán)境的服務(wù)，配備便捷的API，用于存儲(chǔ)、搜索和管理帶有附加載荷（payload）的點(diǎn)—即包含額外信息的向量。Qdrant能夠有效支持各種基于神經(jīng)網(wǎng)絡(luò)或語義的匹配、分面搜索（facetedsearch）以及其他應(yīng)用場(chǎng)景。由向量數(shù)據(jù)庫引起的數(shù)據(jù)泄露主要有3種方式：通過RestfulAPI泄露、通過管理工具泄露以及通過API調(diào)試文檔泄露。全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）?2025綠盟科技通過RestfulAPI泄露：部分向量數(shù)據(jù)庫部署完成后會(huì)對(duì)外暴露一些RestfulAPI，這些API打通了LLM應(yīng)用訓(xùn)練、推理的全流程。然而，筆者調(diào)研的多款主流向量數(shù)據(jù)庫的默認(rèn)部署方式下（容器部署方式）的原生RestfulAPI均不包含任何訪問控制機(jī)制?！氨┞兜腁PI”加“未授權(quán)訪問”給向量數(shù)據(jù)庫帶來了嚴(yán)重的數(shù)據(jù)安全威脅，攻擊者可以通過極低的成本（如一個(gè)簡(jiǎn)單的Get或Post請(qǐng)求）來獲取其中的數(shù)據(jù)，造成數(shù)據(jù)泄露。通過管理工具泄露：向量數(shù)據(jù)庫的Web管理工具若存在未授權(quán)訪問也可能導(dǎo)致數(shù)據(jù)泄露事件的發(fā)生。例如，向量數(shù)據(jù)庫Milvus的Web管理工具Attu、MilvusWebUI都有可能存在默認(rèn)情況下的未授權(quán)訪問。攻擊者可能通過這類Web管理工具竊取向量數(shù)據(jù)庫中的敏感數(shù)據(jù)，進(jìn)而造成數(shù)據(jù)泄露。通過API調(diào)試文檔：一些向量數(shù)據(jù)庫為了方便開發(fā)者進(jìn)行調(diào)試，在特定的endpoint下自動(dòng)生成了在線API調(diào)試文檔，且同樣不具備任何訪問控制機(jī)制。攻擊者能夠通過對(duì)在線API文檔進(jìn)行調(diào)試，對(duì)后端的向量數(shù)據(jù)庫進(jìn)行查詢等操作，進(jìn)而造成數(shù)據(jù)泄露。導(dǎo)致此次Qdrant數(shù)據(jù)泄露風(fēng)險(xiǎn)事件的主要原因?yàn)镼drant開放的RestfulAPI存在未授權(quán)訪問漏洞。開發(fā)者在部署完Qdrant服務(wù)后，未配置有效的訪問控制機(jī)制，且對(duì)服務(wù)的訪問也沒做合理的限制。Qdrant向量數(shù)據(jù)庫服務(wù)的“互聯(lián)網(wǎng)暴露”加“未授權(quán)訪問”最終導(dǎo)致了此次數(shù)據(jù)泄露風(fēng)險(xiǎn)事件的發(fā)生。VERIZON事件分類：MiscellaneousErrors（雜項(xiàng)錯(cuò)誤）所用MITREATT&CK技術(shù)：技術(shù)子技術(shù)利用方式T1593搜索開放網(wǎng)站/域.002搜索引擎攻擊者可能利用網(wǎng)絡(luò)空間搜索引擎進(jìn)行情報(bào)收集。T1133外部遠(yuǎn)程服務(wù)N/A攻擊者識(shí)別暴露服務(wù)中的Qdrant向量數(shù)據(jù)庫服務(wù)。T1587開發(fā)功能.004利用工具攻擊者開發(fā)對(duì)暴露向量數(shù)據(jù)庫服務(wù)進(jìn)行利用的工具。T1530云存儲(chǔ)中的數(shù)據(jù)N/A攻擊者訪問向量數(shù)據(jù)庫服務(wù)中的數(shù)據(jù)。T1567通過Web服務(wù)外泄N/A攻擊者可能利用Qdrant開放的RestfulAPI進(jìn)行數(shù)據(jù)竊取。全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）?2025綠盟科技事件七：GitHubMCP漏洞影響深遠(yuǎn)，或引發(fā)供應(yīng)鏈安全危機(jī)事件時(shí)間：2025年5月泄露規(guī)模：影響多個(gè)GitHub公開倉庫及私有倉庫，涉及企業(yè)私有代碼、敏感數(shù)據(jù)包括物理地址、薪資詳情等高度敏感信息事件回顧：GitHub的模型上下文協(xié)議（ModelContextProtocol，MCP）服務(wù)器被曝存在嚴(yán)重安全漏洞，攻擊者可通過惡意提示注入（promptinjection）手段獲取私有代碼庫數(shù)據(jù)。該漏洞影響所有使用GitHubMCP集成的代理系統(tǒng)，如攻擊者可通過在公共代碼庫/私有代碼庫中創(chuàng)建包含隱藏提示注入載荷的惡意issue，當(dāng)用戶使用AI代理審查代碼庫issue時(shí)，這些惡意提示會(huì)劫持AI代理（如ClaudeDesktop、Cursor等），迫使其執(zhí)行惡意操作，如：利用MCP已授權(quán)的OAuth權(quán)限，越權(quán)訪問組織內(nèi)（Organization）所有私有倉庫；竊取私有代碼、HR文檔、薪資數(shù)據(jù)等敏感內(nèi)容；自動(dòng)創(chuàng)建公開PullRequest并粘貼竊取數(shù)據(jù)，使攻擊者及公眾可直接查看。實(shí)測(cè)中，Claude4Opus模型在受控環(huán)境下泄露了用戶搬遷計(jì)劃、薪資信息及私有項(xiàng)目名稱，證明漏洞具備實(shí)際危害性。事件分析：此次事件根因?yàn)镚ithubMCP架構(gòu)設(shè)計(jì)缺陷導(dǎo)致，可總結(jié)為以下三方面內(nèi)容1.過度特權(quán)訪問：MCP持有寬泛OAuth權(quán)限（默認(rèn)可跨倉庫讀寫）；2.不可信輸入通道：接受公開Issue/PR評(píng)論等未過濾的用戶輸入；3.數(shù)據(jù)外泄出口：支持創(chuàng)建公開PR等對(duì)外輸出機(jī)制。三者結(jié)合形成攻擊鏈，AI代理被惡意輸入操控，濫用合法權(quán)限泄露數(shù)據(jù)。同時(shí)我們也可以看出，此次事件并非代碼缺陷，而是架構(gòu)設(shè)計(jì)導(dǎo)致的基礎(chǔ)性分析，并且也與模型無關(guān)，所有接入GithubMCP的AI助手都會(huì)受到影響，并且修復(fù)難度較高，單純補(bǔ)丁無法消除風(fēng)險(xiǎn)，并且攻擊門檻也較低，攻擊者僅需在公開倉庫提交一個(gè)issue就會(huì)引發(fā)數(shù)據(jù)泄露風(fēng)險(xiǎn)VERIZON事件分類：EverythingElse（其他項(xiàng)）全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）?2025綠盟科技所用MITREATT&CK技術(shù)：技術(shù)子技術(shù)利用方式T1090命令與控制.002外部代理攻擊者可能利用AI代理與用戶間的信任關(guān)系執(zhí)行可能導(dǎo)致信息泄露的命令T1567通過Web服務(wù)外泄N/A攻擊者可能利用Web服務(wù)對(duì)上一步獲取的敏感信息進(jìn)行外泄操作參考鏈接：/s/BIvPDIFTaoBIvfsnezG3xw全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）?2025綠盟科技事件八：微軟OneDrive被曝向AI聊天機(jī)器人開放用戶文件完全讀取權(quán)限事件時(shí)間：2025年5月泄露規(guī)模：數(shù)百萬用戶OneDrive用戶的云盤數(shù)據(jù)事件回顧：2025年5月，OasisSecurity研究團(tuán)隊(duì)發(fā)現(xiàn)微軟的OneDriveFilePicker的OAuth實(shí)現(xiàn)存在嚴(yán)重權(quán)限過度問題，會(huì)暴露用戶的整個(gè)OneDrive內(nèi)容。OneDriveFilePicker是微軟提供的用于上傳或共享OneDrive中存儲(chǔ)文件的工具。報(bào)告指出，如果用戶使用該工具將文件上傳至第三方服務(wù)，如ChatGPT、Slack、Trello和ClickUp等AI聊天機(jī)器人或其他應(yīng)用程序，這些工具將獲取對(duì)OneDrive所有文件的訪問權(quán)限。Oasis研究團(tuán)隊(duì)估計(jì)有數(shù)百個(gè)應(yīng)用程序受到影響，意味著數(shù)百萬用戶可能已經(jīng)授予這些應(yīng)用程序訪問其OneDrive的權(quán)限。Oasis指出這個(gè)缺陷可能會(huì)產(chǎn)生嚴(yán)重的后果，包括客戶數(shù)據(jù)泄露和違反合規(guī)法規(guī)。微軟已確認(rèn)該問題，表示將在未來版本中作出改進(jìn)。事件分析：此次事件的問題根源是OneDriveFilePicker缺乏細(xì)粒度OAuth范圍，導(dǎo)致“上傳單一文件”流程默認(rèn)獲取整個(gè)驅(qū)動(dòng)器讀權(quán)限；再加上token存儲(chǔ)不安全，OneDriveFilePicker要求開發(fā)者自行處理身份驗(yàn)證，通常使用微軟身份驗(yàn)證庫（MSAL），并且可能使用授權(quán)碼流程：1.MSAL默認(rèn)將訪問令牌以明文方式存儲(chǔ)在瀏覽器的sessionStorage中2.授權(quán)碼流程通常還會(huì)返回一個(gè)RefreshToken，該token可被用來持續(xù)刷新訪問令牌，使攻擊者能夠長(zhǎng)時(shí)間內(nèi)訪問用戶數(shù)據(jù)因此，第三方應(yīng)用可在用戶不知情的情況下讀取大量敏感數(shù)據(jù)，甚至持續(xù)監(jiān)控。若token泄露，風(fēng)險(xiǎn)更上升至遠(yuǎn)程持續(xù)竊取。VERIZON事件分類：SystemIntrusion（系統(tǒng)入侵）所用MITREATT&CK技術(shù)：全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）?2025綠盟科技技術(shù)子技術(shù)利用方式T1550有效賬戶.006OAuth令牌通過合法OAuth授權(quán)獲取持續(xù)token，實(shí)現(xiàn)持久訪問。T1078有效賬戶N/A利用用戶自身提供的憑證（OAuthtoken）實(shí)現(xiàn)訪問。T1030數(shù)據(jù)傳輸大小限制規(guī)避N/A長(zhǎng)期讀取、拉取海量用戶文件，涉及大量數(shù)據(jù)轉(zhuǎn)移。T1112修改注冊(cè)表/T1612修改身份驗(yàn)證過程N(yùn)/A雖非本次事件重點(diǎn)，但token存儲(chǔ)可視為“認(rèn)證流程不安全”；此技術(shù)補(bǔ)充說明token管理不當(dāng)?shù)娘L(fēng)險(xiǎn)。T1586危害基礎(chǔ)設(shè)施N/A攻擊者可通過被動(dòng)授權(quán)建立長(zhǎng)期訪問機(jī)制，作為基礎(chǔ)設(shè)施后門使用。參考鏈接：/security/onedrive-file-picker-exposes-user-data/全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）?2025綠盟科技事件九：微軟DefenderXDR據(jù)公開暴露事件時(shí)間：2025年4月泄露規(guī)模：上千份敏感文件，包括Word、Excel、PDF等事件回顧：事件起源于MicrosoftDefenderXDR安全軟件錯(cuò)誤地將合法的AdobeAcrobatCloud鏈接（具體為acrobat[.]adobe[.]com/id/urn:aaid:sc:）標(biāo)記為惡意鏈接。導(dǎo)致大量用戶匆忙將存放在AcrobatCloud中的文件，包括財(cái)務(wù)報(bào)告、內(nèi)部通信和業(yè)務(wù)機(jī)密等上傳至ANY.RUN平臺(tái)進(jìn)行安全分析。ANY.RUN是一個(gè)交互式在線沙箱，允許用戶運(yùn)行可疑文件或鏈接以檢測(cè)惡意軟件。該平臺(tái)的免費(fèi)計(jì)劃明確規(guī)定，所有上傳的文件和分析結(jié)果均為公開狀態(tài)，并可被惡意人員訪問。ANY.RUN公司發(fā)現(xiàn)異常后，立即將所有相關(guān)文件分析設(shè)為私有狀態(tài)，以防止進(jìn)一步泄露。然而，用戶行為卻未能及時(shí)停止，更多機(jī)密文檔被持續(xù)上傳到公開模式。此次事件中，ANY.RUN平臺(tái)的主頁信息引發(fā)了用戶爭(zhēng)議：ANY.RUN政策中免費(fèi)用戶上傳的文件是公開的，但在主頁并未顯示說明這一點(diǎn)，從而導(dǎo)致許多用戶誤解隱私設(shè)置，在急于分析“惡意鏈接”時(shí)未仔細(xì)閱讀警告。網(wǎng)絡(luò)安全社區(qū)Reddit也批評(píng)ANY.RUN的誤導(dǎo)性表述，認(rèn)為平臺(tái)應(yīng)更清晰地提示風(fēng)險(xiǎn)。事件分析：導(dǎo)致此次事件的主要根因?yàn)镸icrosoftDefenderXDR的誤報(bào)（falsepositive）機(jī)制失效。該軟件錯(cuò)誤地將合法AdobeAcrobatCloud鏈接分類為惡意鏈接，觸發(fā)用戶恐慌性響應(yīng)。技術(shù)層面：MicrosoftDefender的自動(dòng)檢測(cè)系統(tǒng)未能驗(yàn)證鏈接真實(shí)性，導(dǎo)致大規(guī)模誤報(bào)。安全軟件依賴的威脅情報(bào)庫可能未及時(shí)更新，或Adobe服務(wù)的特定路徑（如urn:aaid:sc:）被錯(cuò)誤標(biāo)記。平臺(tái)責(zé)任：ANY.RUN的隱私設(shè)置設(shè)計(jì)存在缺陷。盡管平臺(tái)在條款中警告免費(fèi)用戶上傳文件為公開，但主頁的“保持私有”宣傳語具有誤導(dǎo)性，使用戶在緊急情況下忽略細(xì)節(jié)。這反映了安全平臺(tái)在用戶體驗(yàn)與合規(guī)性間的平衡失誤：免費(fèi)服務(wù)通過公開數(shù)據(jù)吸引社區(qū)貢獻(xiàn)，卻未充分強(qiáng)調(diào)隱私風(fēng)險(xiǎn)。全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）?2025綠盟科技用戶行為因素：用戶（尤其企業(yè)員工）在面臨疑似惡意軟件時(shí)，優(yōu)先考慮快速分析而非隱私審查。ANY.RUN的免費(fèi)計(jì)劃易用性高，但用戶缺乏對(duì)“公開上傳”后果的認(rèn)知。同時(shí)，企業(yè)未強(qiáng)制使用商業(yè)許可證，導(dǎo)致敏感數(shù)據(jù)在非安全環(huán)境中處理。行業(yè)影響：事件突顯了惡意軟件分析平臺(tái)的普遍風(fēng)險(xiǎn)，這些平臺(tái)允許公開上傳，容易成為數(shù)據(jù)泄露渠道。更深層問題在于安全生態(tài)系統(tǒng)的互信缺失—用戶依賴工具卻未驗(yàn)證其可靠性，而供應(yīng)商的溝通失誤加劇了事件規(guī)模。VERIZON事件分類：LostandStolenAssets（遺失和被盜竊的資產(chǎn)）所用MITREATT&CK技術(shù)：技術(shù)子技術(shù)利用方式T1199可信關(guān)系N/A用戶在接收到MicrosoftDefenderXDR的誤報(bào)時(shí)，將存放在AdobeAcrobatCloud中文件進(jìn)行收集，并上傳到ANY.RUN惡意軟件分析平臺(tái)中，在上傳過程未能考慮隱私審查，相信ANY.RUN的免費(fèi)計(jì)劃不會(huì)將上傳的文檔進(jìn)行公開T1119自動(dòng)收集N/A攻擊者通過自動(dòng)化技術(shù)收集ANY.RUN公開的文件數(shù)據(jù)T1567通過Web服務(wù)外泄N/A攻擊者可能利用Web服務(wù)將ANY.RUN公開的文件數(shù)據(jù)進(jìn)行公開售賣，以實(shí)現(xiàn)金錢利益參考鏈接：/security/anyrun-users-leak-sensitive-data-after-microsoft-defender-misfire/全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）?2025綠盟科技事件十：黑客利用微軟SharePoint版CopilotAI漏洞竊取密碼及敏感數(shù)據(jù)事件時(shí)間：2025年5月泄露規(guī)模：SharePoint站群中存放的成千上萬份文檔與內(nèi)部資料事件回顧：2025年5月，安全機(jī)構(gòu)PenTestPartners在報(bào)告中揭示攻擊者可利用MicrosoftCopilotforSharePoint代理避開傳統(tǒng)日志監(jiān)控去深度索引和獲取SharePoint站點(diǎn)中的敏感信息，包括密碼、私鑰、API密鑰、測(cè)試報(bào)告、內(nèi)部文檔等。（SharePoint是一個(gè)支持協(xié)作工作和信息共享的微軟平臺(tái)。它們的工作方式類似于包含圖形和文本的常規(guī)Intranet頁面，但它們也提供了存儲(chǔ)和管理文件的位置。值得注意的是，當(dāng)文件和圖像在MicrosoftTeams上共享時(shí)，SharePoint會(huì)自動(dòng)為它們創(chuàng)建一個(gè)站點(diǎn)。）代理方式有兩種：微軟預(yù)先構(gòu)建的默認(rèn)代理和由組織構(gòu)建的自定義代理。全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）?2025綠盟科技為防止類似問題，安全專家建議保持良好的SharePoint衛(wèi)生，即確保完全阻止SharePoint中存在敏感信息，并采取適當(dāng)?shù)脑L問控制；建議限制代理的創(chuàng)建，并使用監(jiān)控攻擊監(jiān)測(cè)試圖利用這些服務(wù)的攻擊者。事件分析：該安全事件的核心原因在于Microsoft365SharePoint中默認(rèn)啟用的CopilotAIAgent存在訪問控制不嚴(yán)格、行為不可審計(jì)、以及提示詞可被濫用等設(shè)計(jì)缺陷，導(dǎo)致攻擊者可以通過合法界面繞過權(quán)限限制并獲取大量敏感數(shù)據(jù)。DefaultAgents濫用：CopilotDefaultAgent默認(rèn)安裝在所有SharePoint站點(diǎn)里，具有訪問站點(diǎn)內(nèi)容的能力；使用特定prompt（如“請(qǐng)掃描此站點(diǎn)并列出密碼、私鑰、API密鑰”無需顯式下載即可提取敏感信息，包括文件內(nèi)容和鏈接；Agent提供文檔內(nèi)容摘要，但不會(huì)記錄為“最近訪問”，從而繞過日志監(jiān)控繞過權(quán)限限制：即使用戶處于“RestrictedView”（僅瀏覽權(quán)限），Copilot也能提取文件內(nèi)容，例如“RestrictedView”權(quán)限下，攻擊者仍可獲得Passwords.txt中的密碼明文規(guī)避訪問日志記錄：通過Copilot訪問的文件不會(huì)被標(biāo)記為“已打開”或“最近訪問”；常規(guī)監(jiān)控手段無法發(fā)現(xiàn)Copilot的訪問行為自定義Agent濫用：攻擊者可注冊(cè)自己的AIAgent；自定義Agent可配置更高訪問權(quán)限，甚至跨站點(diǎn)；可在AgentPrompt/訓(xùn)練數(shù)據(jù)中預(yù)嵌后門，或用于數(shù)據(jù)轉(zhuǎn)儲(chǔ)VERIZON事件分類：SystemIntrusion（系統(tǒng)入侵）所用MITREATT&CK技術(shù)：全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）?2025綠盟科技技術(shù)子技術(shù)利用方式T1550使用有效賬戶.004Web會(huì)話Cookie利用現(xiàn)有CopilotAgent建立訪問通道T1550使用有效賬戶N/A利用SharePoint授權(quán)的Agent控制訪問T1083文件和目錄發(fā)現(xiàn)N/A使用Agent搜索SharePoint站點(diǎn)中的文件T1213數(shù)據(jù)來自本地系統(tǒng)N/A從SharePoint/Wiki等信息庫中提取數(shù)據(jù)T1020自動(dòng)數(shù)據(jù)傳輸N/A自動(dòng)化提取敏感文檔T1027模糊處理N/AAgent返回AI摘要而非完整日志來隱藏行為參考鏈接：/s/NNi6hwYeIcQtrOhVWkRyNw全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）安全建議?2025綠盟科技-全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）?2025綠盟科技前文我們對(duì)全球2025年3-6月云上數(shù)據(jù)泄露典型事件進(jìn)行了詳細(xì)解讀，如下圖所示，從事件分類模式上看，雜項(xiàng)錯(cuò)誤中涵蓋的配置錯(cuò)誤是導(dǎo)致數(shù)據(jù)泄露的主要原因，占比高達(dá)40%。另外系統(tǒng)入侵導(dǎo)致的數(shù)據(jù)泄露也占比約40%。2.1針對(duì)雜項(xiàng)錯(cuò)誤類的安全建議2025年3-6月全球云上數(shù)據(jù)泄露典型事件中，其中絕大多數(shù)事件是由于服務(wù)訪問控制策略配置不當(dāng)導(dǎo)致的。這些云服務(wù)包含公有云提供的服務(wù)也包括自建類服務(wù)，如AmazonS3對(duì)象存儲(chǔ)和Elasticsearch以及Clickhouse等。因此，我們提供以下安全建議：避免將對(duì)象存儲(chǔ)服務(wù)的訪問控制權(quán)限設(shè)置為公共訪問，或開啟云服務(wù)商提供的類似“阻止公共訪問”等功能。?2025綠盟科技避免將云服務(wù)器的安全組策略配置為全端開放，應(yīng)結(jié)合業(yè)務(wù)需求開啟部分端口的互聯(lián)網(wǎng)訪問權(quán)限，必要時(shí)要設(shè)置白名單等安全機(jī)制。3.監(jiān)控和記錄所有訪問請(qǐng)求，并配置異?；顒?dòng)告警。如公有云服務(wù)可直接開啟云審計(jì)和告警服務(wù)，例如，使用awscloudtrail服務(wù)、阿里云審計(jì)日志服務(wù)等。通過配置防火墻、訪問控制列表（ACL）、角色訪問控制（RBAC）或者服務(wù)監(jiān)聽策略等方式縮小服務(wù)暴露范圍。針對(duì)Clickhouse啟用認(rèn)證機(jī)制，如：修改users.xml配置文件，設(shè)置密碼使用SHA256或doubleSHA1密碼哈希?2025綠盟科技xml<users><default><password>your_secure_password</password><networks><ip>::1</ip><ip></ip><ip>允許訪問的IP</ip></networks></default></users>限制網(wǎng)絡(luò)訪問，修改config.xml中的<listen_host>設(shè)置避免使用，改為特定IP或，使用防火墻限制訪問端口（默認(rèn)8123HTTP,9000TCP）禁用默認(rèn)用戶：確保沒有用戶使用空密碼或默認(rèn)密碼針對(duì)Elasticsearch未授權(quán)訪問，應(yīng)當(dāng)從以下多方面進(jìn)行安全防護(hù)：（1）啟用身份驗(yàn)證：7.x及以上版本內(nèi)置安全功能，需在elasticsearch.yml中啟用：yamlxpack.security.enabled:true（2）執(zhí)行設(shè)置密碼命令：bashbin/elasticsearch-setup-passwordsinteractive（3）網(wǎng)絡(luò)訪問控制:修改elasticsearch.yml：yamlnetwork.host:#或指定內(nèi)網(wǎng)IPhttp.port:9200?2025綠盟科技（4）使用防火墻限制訪問：bashiptables-AINPUT-ptcp--dport9200-s允許的IP-jACCEPTiptables-AINPUT-ptcp--dport9200-jDROP2.2針對(duì)系統(tǒng)入侵的安全建議設(shè)置網(wǎng)絡(luò)隔離策略，如根據(jù)資產(chǎn)或業(yè)務(wù)設(shè)置多個(gè)微分段網(wǎng)絡(luò)，針對(duì)每個(gè)微分段設(shè)置白名單放行規(guī)則等；啟用多因素身份驗(yàn)證（MFA），增強(qiáng)高敏感系統(tǒng)和數(shù)據(jù)的訪問控制；定期輪換服務(wù)賬戶的訪問密鑰和API密鑰，并及時(shí)撤銷不再使用的密鑰。可利用云廠商的密鑰管理服務(wù)（KeyManagementServiceKMS）；實(shí)施集中憑證管理，防止憑證泄露。如使用AWSSecretsManager或AzureKeyVault；定期為員工提供云安全培訓(xùn)，內(nèi)容涵蓋配置管理、數(shù)據(jù)保護(hù)、憑證管理、安全監(jiān)控和應(yīng)急響應(yīng)，提升開發(fā)人員的安全意識(shí)，確保運(yùn)維人員能夠快速應(yīng)對(duì)泄露事件；自動(dòng)撤銷離職員工對(duì)系統(tǒng)的訪問權(quán)限，包括云服務(wù)平臺(tái)、內(nèi)部系統(tǒng)、郵件賬戶和第三方服務(wù)等，并停用和刪除相關(guān)的賬戶和認(rèn)證口令；對(duì)所有敏感數(shù)據(jù)進(jìn)行加密處理，無論是靜態(tài)存儲(chǔ)還是傳輸過程中的數(shù)據(jù)，確保即使數(shù)據(jù)泄露，攻擊者也無法讀取。2.3針對(duì)遺失和被盜竊的資產(chǎn)的安全建議1.技術(shù)層面防護(hù)（1）驗(yàn)證安全警報(bào)的真實(shí)性：遇到安全軟件（如DefenderXDR）標(biāo)記的威脅時(shí)，優(yōu)先通過掃描工具進(jìn)行交叉驗(yàn)證，而非直接依賴單一結(jié)果。手動(dòng)檢查被標(biāo)記鏈接的域名和路徑是否屬于合法服務(wù)，避免盲目信任自動(dòng)化工具。（2）限制云服務(wù)的自動(dòng)共享權(quán)限：對(duì)AdobeAcrobatCloud等存儲(chǔ)敏感文件的云服務(wù)，設(shè)置最小權(quán)限原則，禁止公開分享鏈接，僅允許特定人員訪問。（3）啟用云服務(wù)的版本控制和訪問日志，便于追蹤異常操作。全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）全球云上數(shù)據(jù)泄露風(fēng)險(xiǎn)分析簡(jiǎn)報(bào)（第六期）?2025綠盟科技（4）上傳文件前，手動(dòng)刪除敏感元數(shù)據(jù)（如作者信息、公司水印），或使用匿名化工具處理文檔內(nèi)容。2.企業(yè)策略優(yōu)化（1）制定應(yīng)急響應(yīng)流程建立安全警報(bào)的分級(jí)響應(yīng)機(jī)制：對(duì)誤報(bào)風(fēng)險(xiǎn)高的場(chǎng)景，要求IT團(tuán)隊(duì)人工復(fù)核后再行動(dòng)。明確禁止員工直接使用免費(fèi)沙箱分析敏感文件。（2）強(qiáng)化員工培訓(xùn)與演練：定期開展誤報(bào)場(chǎng)景模擬訓(xùn)練，教育員工識(shí)別虛假威脅警報(bào)，并強(qiáng)調(diào)公共沙箱的數(shù)據(jù)泄露風(fēng)