加纳国家服务秘书处NSS 70万人数据泄露

在 Noam Rotem 和 Ran Locar 的带领下，vpnMentor 的研究团队发现了与加纳国家服务秘书处 (NSS) 相关的数据泄露。

NSS 是一项政府计划，旨在为加纳某些教育机构的毕业生管理强制性的公共服务年。每年，来自全国各地的数千名学生加入该计划，在包括医疗保健在内的各个公共部门工作。

NSS 使用 Amazon Web Services 存储来自其程序的超过 300 万个文件。尽管密码保护了其云存储帐户中的一些文件，但由于创建帐户并上传和组织 S3 存储桶上的文件的人的简单疏忽，这还不够，许多文件仍然暴露在外。

结果，来自加纳各地的多达 700,000 人面临欺诈、黑客攻击和身份盗窃——更不用说他们工作的机构和加纳政府本身所面临的危险。

数据泄露摘要

公司/组织	加纳的国民服务计划
总部	阿克拉, 加纳
行业	公共部门
以千兆字节为单位的数据大小	大约 55GB
文件数量	3,814,795
暴露人数	最有可能是 500,000-600,000；可能高达 700,000
日期范围/时间线	2018 年 3 月 – 至今
地理范围	加纳(ghana)
暴露的数据类型	PII数据；身份证; 就业和教育记录；等等
潜在影响	网络钓鱼；欺诈罪; 勒索软件；反政府异议和错误信息；敲诈勒索
数据存储格式	错误配置的 AWS S3 存储桶

什么是加纳国家服务秘书处？

国家服务秘书处（或国家服务计划，NSS）的建立是为了促进加纳公共和私营部门的发展。

NSS 是一项为期一年的强制性国家服务，加纳认可的高等教育机构的所有毕业生在法律上都必须履行。每年，加纳有 10,000 名毕业生将在各个部门服务 12 个月，主要是在公共部门，如医疗保健、交通和教育。

发现者和所有者的反应时间表

• 发现日期： 2021 年 9 月 29 日
• 联系供应商的日期： 2021 年 10 月 6 日
• 第二次联系尝试的日期（如果相关）： 2021 年 10 月 12 日
• CERT-GH 联系日期： 2021 年 10 月 7 日；2021年10月12日（同日回复）

有时，数据泄露的程度和数据的所有者很明显，问题很快得到解决。但这些时候很少见。在我们了解什么是利害关系或谁在公开数据之前，我们通常需要进行数天的调查。

了解违规行为及其潜在影响需要仔细的关注和时间。我们努力发布准确可靠的报告，确保每个阅读报告的人都了解其严重性。

一些受影响的各方否认事实，无视我们的研究或淡化其影响。因此，我们需要彻底并确保我们找到的一切都是正确和准确的。

在这种情况下，NSS 使用 Amazon Web Services (AWS) S3 存储桶来存储通过其各种活动从公众收集的数据。S3 存储桶是一种越来越流行的企业云存储解决方案。但是，用户必须手动设置他们的安全协议以保护存储在其中的任何数据。

虽然 NSS 对存储在 S3 存储桶中的许多文档进行了密码保护，但存储桶本身是完全开放的，内容完全公开，任何拥有 Web 浏览器和技术技能的人都可以轻松访问。

此外，由于负责组织文档的人的重大疏忽，密码保护最终无用，因为具有相同数据的其他文件可以在同一存储桶中的另一个文件夹中访问。

最后，许多文件包含与该计划直接相关的 NSS 徽标和文本。一旦我们确认 NSS 应对数据泄露负责，我们就会联系该机构以通知他们并提供我们的帮助。但是，我们从未收到 NSS 的回复。

我们还两次联系了加纳的计算机应急响应小组 (CERT-GH)。第二次，他们在同一天回复，要求提供有关我们发现的更多信息。CERT-GH向他们透露了情况后，回复道：

“我的团队已经验证并确认了该漏洞。已准备好一份报告并与 CERT 协调政府机构事件共享。我们将跟进以确保尽快解决问题。”

我们多次跟进加纳的 CERT，但从未收到回复。我们还联系了加纳政府，不幸的是没有成功。

我们多次跟进加纳的 CERT，但再也没有收到他们的回复。我们还联系了加纳政府，不幸的是没有成功。

S3 存储桶中的条目示例

总共有超过 380 万个文件存储在 NSS 的 S3 存储桶中。

NSS 采取措施通过密码保护 S3 存储桶中的敏感文件来保护人们的身份。然而，这是随意且不一致的，最终效率低下，因为这些相同的文件暴露在存储桶的其他地方。

不同的文件类型存储在各个文件夹中，以将它们分开。但正如我们将要证明的，这还不足以保护人们的数据。

NSS 证书 PDF 文件 – 60 多个证书可访问（330k+ 密码保护且无法访问）

S3 存储桶中的一个文件夹包含 330,000 多个已完成 NSS 的人的个人证书。每个文件都存储为一个单独的 PDF 文件。

其中 60 多个 PDF 文件完全不受保护。330,000+ 通过密码保护。

但是，正如我们将在下面解释的那样，由于二维码导致存储在其他地方的相同文件，密码保护可能没有用。

每个未受保护的证书都包含有关暴露人员的大量数据，包括：

• 个人照片
• 全名
• 参加的机构
• 资格
• NSS 编号
• 居住地
• 在 NSS 的服务期限

出于道德原因，我们没有尝试打开受密码保护的文件，但我们假设它们都包含相同的信息。

二维码 – 749,000

在一个单独的文件夹中，NSS 存储了 749,000 个二维码，当扫描这些二维码时，会生成一个直接指向未加密证书的 URL（类似于上面的那个）。这些二维码未以任何方式加密或受密码保护。

出于安全和道德的考虑，我们只扫描了一个二维码样本，因此我们无法确认这些是上面提到的同一个人的证书，还是一套全新的证书，从而额外暴露了 749,000 人。

存档文件 – 1,700+

各种文件被归档数据。这些文件中的大多数不是最近的，也没有密码保护或加密。这些包括：

• NSS内各方之间的通信
• 就业通知书（包括工资通知书）
• 付款收据

身份证 – 12,000+

NSS 还使用 S3 存储桶来存储参与者的 ID 和计划会员卡。其中包括政府 ID，例如加纳国家健康保险计划，以及专业 ID，很可能基于一个人在某个行业的职位（即，作为护士或助产士工作）。

可能更多的存储在其他文件夹中。

护照照片 – 912,000

NSS 存储了参与者提交的不同类型的护照照片，并安装了不同程度的保护。

分解如下：

27,000 张普通护照照片 – 受密码保护
865,000 多张生物识别护照照片 – 未受保护

每月评估 – 2 个 CSV 文件 (35 MB)

这两个 CSV 文件包含 2018 年至 2020 年间 NSS 参与者的 43,000 多条独特记录。

文件没有密码保护或加密。一些记录包括每月支付给参与者的款项、他们的全名、他们被分配的职位（带位置）、NSS 编号等等。

未标记的文件 – 30,000

最后，S3 存储桶还包含一个文档转储，其中混合了不同类型的文件，所有文件都存储在一起，没有组织或保护。其中包括生物识别护照照片、身份证和 NSS 工作人员上传的其他文件。

数据泄露影响

此次数据泄露对加纳政府和全国 100,000 名公民构成严重风险。

加纳政府和国家安全局

如果此数据泄露被恶意或犯罪黑客发现，对加纳政府来说可能是毁灭性的打击。通过泄露属于多达 700,000 名公民的私人数据，政府冒着引起公众强烈反对的风险。

在全球范围内，网络攻击越来越多，公众也越来越意识到其中的危险。同时，在许多国家/地区，人们对政府的信任度正在迅速恶化，这通常是由在线错误信息、虚假信息、阴谋论和 COVID-19 大流行造成的。

希望这些数据不会落入犯罪分子之手。尽管如此，如果违规消息传播得足够远并以任何方式被扭曲，加尼亚政府将对其公民承担责任，将他们置于危险之中。如果公民以及企业和其他政府等合作伙伴对其数据保护政策持怀疑态度，并因担心泄露而不愿提供任何私人数据，这也可能导致对政府的更广泛的不信任。

除了数据泄露造成的声誉损失外，受影响的个人以及政府和国家安全局也可能因基于暴露数据的网络钓鱼活动而面临严重的安全风险。

在网络钓鱼活动中，犯罪分子会向受害者发送模仿真实企业和组织的虚假电子邮件和短信。通过建立受害者的信任，他们希望诱使他们采取以下任何行动：

1. 提供可用于上述欺诈活动的其他 PII 数据（即社会安全号码）或私人信息（即银行帐户详细信息）。
2. 将借记卡或信用卡详细信息输入到一个虚假的支付门户中，这样它们就可以被犯罪分子窃取和使用，或在暗网上出售。
3. 单击嵌入了感染用户设备的恶意软件（例如恶意软件、间谍软件和勒索软件）的链接。

在政府或类似实体的情况下，他们可以说服员工意外提供对政府网络其他安全区域的访问权限，或者单击允许黑客访问整个网络的链接。然后，他们可以植入间谍软件、勒索软件或类似的病毒软件，以摧毁加纳政府或公共基础设施的整个分支机构。或者只是在未被发现的情况下监视政府。

此类攻击正变得越来越流行，通常由敌对或敌对政府精心策划，并利用工作场所普遍缺乏有关网络安全的教育。

此外，由于 NSS 工作人员和参与者之间存在通信，黑客可以使用存储在开放 S3 存储桶中的 NSS 资产，例如徽标和字母模板，来创建高效的网络钓鱼攻击。只需一名未受过识别虚假电子邮件教育的员工通过单击恶意链接来破坏整个网络。

对于 NSS 参与者

如果恶意或犯罪黑客在 NSS 的 AWS 账户受到保护之前发现了它，他们可能会在各种犯罪计划中使用暴露的数据。

暴露的数据足以让熟练的黑客实施许多最常见的欺诈形式，包括：

• 身份盗窃
• 税务欺诈
• 保险欺诈
• 邮件欺诈
• 银行账户接管
• 借记卡或信用卡欺诈
• 抵押贷款欺诈
• 还有很多…

然而，即使暴露的数据不足以用于获取犯罪收益，它也可以用于针对暴露在数据泄露中的个人进行复杂的网络钓鱼活动。

虽然没有成功的针对政府的网络钓鱼攻击那么严重，但如果一个人被成功欺骗，它可能会破坏他们的生计。

此外，此次泄露中暴露的大部分数据都是永久性的，永远无法更改。例如，黑客攻击的受害者可以更改他们的电话号码、信用卡和电子邮件地址。但是，您不能更改您毕业于的高中、您的社会安全号码或您的性别和出生日期等个人详细信息。

一旦这些信息被公开，它就会在你的余生中反复被用来对付你。

在这种情况下，网络钓鱼攻击成功的风险增加了，因为许多相关人员现在将在医疗机构工作。此类设施被网络犯罪分子视为高价值目标，他们可以通过威胁中断患者护理、销毁记录并造成毁灭性的、可能致命的损害来索要高额赎金。因此，近年来针对医院和医疗机构的网络攻击呈上升趋势。

由于在这次数据泄露中暴露的人数众多，网络犯罪分子只需要成功骗取一小部分，任何犯罪计划就可以被视为成功。

专家建议

如果 NSS采取了一些基本的安全措施，它本可以轻松避免暴露其参与者的数据。这些包括但不限于：

1. 保护其服务器。
2. 实施适当的访问规则。
3. 永远不要让不需要身份验证的系统对互联网开放。

任何公司都可以复制相同的步骤，无论规模大小。

有关如何保护您的业务的更深入指南，请查看我们的网站和在线数据安全指南，防止黑客入侵。

保护开放的 S3 存储桶

需要注意的是，开放、可公开查看的 S3 存储桶并不是 AWS 的缺陷。它们通常是存储桶所有者出错的结果。Amazon 向 AWS 用户提供了详细说明，以帮助他们保护 S3 存储桶并保持其私密性。

在这种情况下，修复此错误的最快方法是：

• 将存储桶设为私有并添加身份验证协议。
• 遵循 AWS 访问和身份验证最佳实践。
• 为 S3 存储桶添加更多保护层，以进一步限制谁可以从每个入口点访问它。

对于 NSS 参与者

如果您是 NSS 的参与者并且担心此违规行为可能会对您产生什么影响，请直接联系该部门以了解它正在采取哪些措施来保护您的数据。

要了解一般数据漏洞，请阅读我们的在线隐私完整指南。

它向您展示了网络犯罪分子瞄准互联网用户的多种方式，以及您可以采取的确保安全的步骤。

我们如何以及为何发现漏洞

vpnMentor 研究团队发现 NSS 的数据泄露是一个巨大的网络地图项目的一部分。我们的研究人员使用大型网络扫描仪来搜索包含不应公开信息的不安全数据存储。然后他们检查每个数据存储是否有任何数据泄露。

我们的团队能够访问此 S3 存储桶，因为它完全不安全且未加密。

每当我们发现数据泄露时，我们都会使用专家技术来验证数据的所有者，通常是商业企业。

作为道德黑客，当我们发现他们的在线安全漏洞时，我们有义务通知他们。我们联系了 NSS 和加纳政府，不仅让他们知道这个漏洞，而且还建议他们可以使他们的系统安全的方法。

这些道德规范也意味着我们对公众负有责任。NSS 用户必须意识到暴露了大量敏感数据的数据泄露。

这个网络地图项目的目的是帮助所有用户提高互联网的安全性。

我们没有证据或方法知道我们报告中的数据是否已被其他任何人访问或泄露；只有数据库所有者才能知道这一点。

我们尽最大努力通过与公司联系并确保他们尽快保护泄露的数据库来防止这种情况发生。

我们绝不会出售、存储或公开我们在安全研究期间遇到的任何信息。

from

转载请注明出处及链接