2022年度网络空间测绘年报·云上风险测绘篇.pdfVIP

绿盟科技2022年度

网络空间测绘报告

⸺云上风险测绘篇

执行摘要 001

S1ﾠ2022年重大公有云安全事件回顾 002

1.1 简介 003

1.2 知名密码管理软件LastPass遭网络攻击 003

1.3 Wiz发现PostgreSQL漏洞，影响多家公有云厂商 004

T1.4 土耳其Pegasus航空公司泄露6.5TB敏感数据 006

1.5 云服务提供商Rackspace公司遭遇勒索软件攻击 009

1.6 微软被曝泄露65000多个实体的敏感数据 012

N1.7 小结 013

2ﾠ云上风险测绘专题分析 014

2.1 简介 015

2.2 对象存储服务风险案例分析 015

E2.3 公有云凭证泄露风险案例分析 019

2.4 云原生服务风险测绘分析 022

2.5 源码仓库暴露测绘分析 032

T2.6 小结 037

3ﾠ总结与展望 038

N参考文献 040

O

C

观点1015

目前对象存储资产通常处于不安全状态，虽然公有云提供商提供了安全的策略，

但是由于用户的错误配置等原因，很多的存储桶存储资产可以公开访问，这也是许多

数据泄露事件的原因。

观点2019

GitGuardian报告指出，2022年超过1000万个泄露的硬编码凭证被推送到

GitHub上，比2021年增加了约67%，这些硬编码凭证中很大一部分具有公司云服

务资源的访问权限，由此可见，潜伏在源代码中的硬编码凭证是影响云上数据安全

的重要因素之一。及时发现并消除云凭证的泄露隐患，是保证云上数据安全必不可

少的环节。

观点3022

近年来，随着云原生概念的兴起，互联网上暴