美在线教学平台数据泄露事件还原 企业应早发现早处置

安全419在前一段时间关注到一起安全事件的披露，并进行了相关转发报道，相关信息如下：

美国在线教育平台McGraw Hill泄露22TB数据

“据外媒报道，vpnMentor研究人员发现了两个配置错误的Amazon Web Services（AWS）S3存储桶，据证实该储存桶属于McGraw Hill。据了解，此次事件总共泄露了1.17亿个文件，两个储存桶一个包含10TB数据的非生产存储桶，另一个包含12TB数据的生产存储桶。研究人员透露，大约10万名师生的信息被泄露，包括如个人信息、成绩、教师教学大纲等。目前，这两台被暴露的存储桶已被保护起来。”

在相关信息报道之后，我们也受到了该起事件研究披露一方vpnMentor研究团队的关注，在其与安全419取得联系之后，我们对该起事件有了进一步的详细了解：

据称，事件主体为美知名信息服务企业McGraw Hill（译为麦格劳·希尔）下属的在线教育平台，该平台主要服务于美国和加拿大高级教育机构，用于在线教学。安全事件爆发之后，有超过10万名学生将面临因数据泄露影响下的安全风险问题。

因为他们的敏感数据已经泄露在外，这也是因违规事件引起的数据泄露最常见的风险，这些数据也异常珍贵，他们可以供网络犯罪份子实施精准的诈骗活动，或是身份盗用。

据vpnMentor安全团队披露，此次安全事件源头是McGraw Hill在线教育平台没有对其使用的两处AWS S3存储桶实施正确的配置，其中一个涉及生产数据的存储桶含有12TB以上的数据，非生产数据存储桶含有10TB以上数据，数据除了含有学生的敏感信息，还包括教学课程内容，以及后端文件。

需要延伸指出的是，随着新冠的大流行，各国教育机构都不可避免地实施着远程在线教学，基于在线教育平台完成全年教学任务，这也对教育机构的网络安全水平提出了新的挑战。

全面披露显示，vpnMentor研究团队在与McGraw Hill一方进行了充分且负有责任的沟通，并在对方采取妥善处理之后，才公开披露相关信息。但我们也可以看到，在历时超过3个月的沟通，实际上可以看出安全责任一方在处理安全事件的态度上实际上并不积极。

对事件上的还原，以及事件背后的分析，vpnMentor研究团队分享了如下信息：

安全机构的研究分析通常限于法律与道德约束，所以vpnMentor研究团队也限定在了有限的样本分析上，他们保守估计至少有10万名学生的敏感数据已遭泄露，但实际数量要远高他们的预估，因为其在线教学平台覆盖了美加两地多所知名大学。

McGraw Hil在其存储桶上存储的数据还包括教学文件、账户密钥、以及源代码，这些敏感信息可能会造成进一步的额外伤害。如可能会获得该企业在线服务器进一步的访问权限，或更容易让攻击者捕获系统的漏洞，并访问其它敏感数据。

最直接的，也是当前企业在网络安全事件当中最害怕的事情，也就是数据泄露之后将面临的法律风险。vpnMentor研究团队就指出，根据美国联邦法律，如《家庭教育权利和隐私权法案》（FERPA），学生敏感信息和教学计划等信息的泄露，McGraw Hill可能直接违反了FERPA的规定，并可能面临美国相关政府机构的执法行动。

我们在整理分析此次安全事件之余，也会结合此前的一系列观察，给出进一步的思考。

这也是vpnMentor研究团队重点强调的是，事件的安全因素与AWS一方无任何关联，这并不是亚马逊云科技S3存储桶的安全问题，而是基于用户一侧错误的配置，使其并没有保持亚马逊云科技建议下的安全示例。vpnMentor研究团队在与McGraw Hill一方联系之后，实际上他们也给出了修复建议，比如添加身份验证协议、遵循AWS最佳实践、为S3存储桶添加更多保护层等。不过McGraw Hill的做法也更为直接，那就是直接删除处理。

安全419在上周刚刚受邀参与亚马逊云科技举办的“2022re:Invent全球大会—北京站”活动，亚马逊云科技大中华区高管在某一分享环节时就明确指出，数据安全有的来自外部攻击，而从案例来看，更多的则是因为内部错误的操作或配置所导致。比如后台配置升级、软件升级等造成的数据安全隐患。在活动上，他们也分享了由于内部失误所造成的安全问题上的一些技术和产品上的支持。

此前致力于企业级的数据容灾恢复服务的上海CloudWonder 嘉云就曾向安全419表示，从企业容灾恢复角度的统计数据来看，‍‍由于不可抗力造成的故障，‍‍或严重的站点级损毁故障只占到统计数据的3%都不到，‍‍其中60%左右，均为逻辑故障，以及人为的误操作所引起。其它部分才是硬件故障、软件升级，或是病毒攻击等问题。

无论是否是企业自身的内部问题，还是外部攻击所带来的安全事件，企业在数字时代，大量业务和数据正在云上部署，此前有机构就披露，尽管针对云端数据的网络攻击越来越多，但仍有83%的企业仍然未能加密他们存储在云上的敏感数据。

IBM发布的最新《2022年数据泄露成本报告》也明确表示，在过去的一年时间里，有一半的数据泄露发生在云上，报告指出这一比例高达45%。除了企业用户自身的失误，糟糕的网络安全建设同样是发生安全事件的主要因素，比如报告披露在企业的云安全实践方面，26%的组织说他们处于云安全实践的早期阶段，34%的组织处于中期阶段，只有23%的组织处于成熟阶段。另外，甚至还有17%的组织云安全实践几乎为零。

显然，从云到云原生，安全也在不断地切换场景，并伴随着最新的攻防趋势，对企业一侧提出苛刻而又全面地挑战。安全专家曾建议，企业没有任何时候比现在更需要专业的安全支持，他们在保持技术领先性的同时，也需要不断向专业人士、专业安全厂商，探寻不同场景下的最佳实践，因为安全本身就是个企业不能忽视的大问题。

专业的调研机构和安全专家普遍认为，绝大多数企业没有实现安全最佳实践，这与全球广泛的安全人才缺失有关，但就事论事来看，对于一家专业的信息化服务商来说，出现的安全问题可能还是要归咎于对安全的重视程度上，而欠缺安全人才当然也是其中的主要因素，因为确实是因为低级的配置错误问题。

安全419在《勒索攻击解决方案》系列选题调研时，国内安全企业深信服安全专家就曾表示，在他们参与的绝大多数勒索软件应急案例当中，大部分组织单位都知道有勒索病毒防护解决方案，但没有被勒索的时候，很少认为有购买的必要性。“只有经历生死，企业才能真正的重视安全。”这句话的意思就是理论与实践之间的认知也许并不重要，关键在于如何行动。

在2022年西湖论剑网络安全大会上，我国浙江大学信息中心主任陈文智就强调网络安全的重要性，比如在谈到浙大建设的一体化在线教学平台方面，平台不仅承载全校师生的教学任务，还包括数十个学科的科研数据的开放，以便供学生交叉科研，这些数据都异常珍贵，一旦泄露后果非常严重。

越来越多的案例证明，随着校园的信息化建设的加快，一旦安全建设没有同步跟上，或心存侥幸，被黑客攻击甚至不是大概率事件，而是必然事件。

“我对正在发生的违规行为的数量感到不安。作为一名首席信息安全官，我一生中从未见过如此多的违规行为。”Check Point CISO Deryck Mitchelson前不久针对越来越多的数据泄露事件发表上述评论。他粗略统计了今年三季度相关信息，仅这一个季度就有约1.1亿条个人敏感信息被泄露。

显然这还仅是数据泄露的冰山一角，因为还有很多并非个人数据，还有那些公司敏感的商业数据，甚至是政府军事单位的机密数据。现在的问题是用户一侧似乎已经对频繁发生的数据滥用、数据泄露事件司空见惯，但个人可以麻木，企业一侧绝对不能。

正如IBM发布的《2022年数据泄露成本报告》指出，企业一侧通常要用277天才能识别和控制数据泄露事件，报告进一步表示，数据泄露生命周期如果超过200天，其数据泄露成本为486万美元，低于200天的话，则会降至374万美元。

同时对于商业组织而言，Deryck Mitchelson就认为一旦企业遭遇数据泄露，就将失去消费者的信任，这不是短时间或长时间，或者采用那些商业手段就能挽回的客户信任问题。

外部攻击面管理厂商零零信安在前不久的产品发布时也表示，数据泄露事件正频繁发生，企业如能够提前获悉数据泄露是否已经发生，则可为企业留出更加充裕地处置应急时间窗口，同时还可以大幅缩减企业因此产生的违规支出。

*关于vpnMentor研究团队：这是一支由数位顶尖安全专家组成的，致力于帮助在线社区抵御网络威胁，并提供相关无偿服务，为组织保护其用户数据的安全团队。该团队在过去几年内表现活跃，他们负责任兼具道德的披露研究了全球多起具有影响力的数据泄露事件。