程序员要不要为云计算后端安全漏洞“背锅”
在Appthority的一份新报告中,开发人员和程序员再次因为云端后端安全漏洞的问题,被诟病。
Appthority的调查结果显示,发现近43 TB的企业数据被暴露在云端后端,包括个人身份信息(PII)。
在Appthority发布的“2017 Q2企业移动威胁报告”报告中,Appthority发现移动应用程序发送造成“数据泄漏”,是由将数据发送到不安全的云端所致。
研究人员分析指出,被Appthority称为HospitalGown(病号服)的攻击影响了安装在企业设备上超过1000款的iOS和安卓的app。总共发现接近43 TB的数据暴露,在主要分析的39款APP中,发现有2.8亿个数据暴露,共有大约163 GB的数据。
无独有偶,近日RedLock的调查报告指出许多安全问题,主要是由于公有云平台上的用户配置错误所致。RedLock声称,它发现82%的托管数据库保持不加密,以及许多其他问题。
RedLock的报告也将矛头指向开发人员和程序员。HospitalGown是导致数据暴露的一个漏洞,而不是应用程序中的代码,但应用程序开发人员和程序员无法正确保护应用程序与后端服务器的通信,以及存放敏感数据的存储。
使用Elasticsearch服务器而导致漏洞的应用程序示例
不安全的Elasticsearch服务器和MongoDB数据库是今年早些时候发生的一系列勒索软件攻击的主要目标。
除了允许通过未经保护的Elasticsearch服务器访问数据外,“病号服”攻击还能利用app跟服务器直接交互的方式。例如,研究人员指出,攻击者能够逆向一款移动app获取Elasticsearch服务器的IP地址、扫描互联网或受害者网络从而查找易受攻击的服务器,并拦截流入服务器的流量。
报告指出:“正如我们的研究结果所示,员工,合作伙伴和客户使用的应用程序的弱点后端产生一系列安全隐患,包括个人身份信息(PII)和其他敏感数据的广泛数据泄露。他们还大大增加了网络钓鱼,暴力登录,社会工程,数据赎金等攻击的风险,而且,HospitalGown使数据访问和渗透比其他类型的攻击更容易。”
以下为报告主要内容:
受影响的应用程序连接到流行的企业服务(如Elasticsearch和MySQL)上的无保密数据存储,这些服务泄露了大量敏感数据。
使用这些服务的应用程序暴露了近43TB的数据。
多个受影响的应用程序泄漏了某种形式的PII,包括密码,位置,旅行和付款详情,公司数据,包括员工的VPN PIN,电子邮件,电话号码和零售客户数据。
由于风险在移动应用程序供应商架构栈中的位置,企业安全团队无法了解风险。
即使是从设备和应用程序商店中删除的应用程序仍然会由于敏感数据保留在不安全的服务器上而造成风险。
该公司表示,黑客可通过动态应用程序分析工具和新的后端扫描方法的组合来识别HospitalGown漏洞,查看iOS和Android上超过一百万个企业移动应用的网络流量。
与RedLock报告中确定的错误配置问题一样,Appthority强调,HospitalGown的所有漏洞都是由人为错误引起的,而不是恶意或固有的基础设施问题。
不安全的移动后端与API:Pulse Workspace案例研究
这种人为错误在Pulse Workspace(用于访问企业网络和Web应用程序)和Jacto应用程序调查的两个应用程序中尤为普遍。
不安全的移动后端无API:Jacto案例研