风险与重复：分析意外数据泄露

在本周的"风险与重复"播客中，SearchSecurity编辑讨论了随着一系列企业用户数据在线暴露事件而增加的意外数据泄露现象。

如今数据泄露如此普遍，以至于其中一些甚至不涉及任何威胁行为者或恶意软件。安全研究员、HaveIbeenpwned.com网站创建者Troy Hunt最近在国会听证会上作证，题为"后泄露时代的身份验证"，他在其中讨论了组织如何经常发生意外数据泄露。此类事件通常涉及企业通过云服务、网络服务和其他技术错误地将企业或用户数据公开在互联网上。

Hunt的证词是在一系列通过亚马逊网络服务（AWS）发生的意外数据泄露之后发表的；包括NSA和美国陆军在内的多个组织都通过错误配置的AWS简单存储服务实例暴露了敏感数据。最近，Kromtech安全中心透露，移动应用开发者Ai.type通过错误配置的MongoDB数据库暴露了超过3.7亿条用户个人记录，在某些情况下还包括用户的联系人列表。

在上周的国会听证会上，众议员Morgan Griffith（弗吉尼亚州共和党人）询问Hunt为什么这些意外泄露事件不断发生。“真的那么容易意外地将你的云服务分享给全世界吗？“Griffith问道。

“对最后一个问题的简单回答是：是的，就是这么容易，“Hunt说。“很多时候只是一个简单的配置错误。”

为什么企业会发生这么多意外泄露？这些事件是否反映了安全能力的缺乏？云提供商和软件开发商是否应该做更多工作来保护客户免于犯这类错误？SearchSecurity编辑Rob Wright和Peter Loshin在本期"风险与重复"播客中讨论了这些问题。