今天分享的是:2025年全球云上数据泄露风险分析报告(第六期)
报告共计:40页
2025年全球云上数据泄露报告:AI驱动风险激增,配置错误成主要诱因
2025年3-6月,全球云上数据安全事件频发,绿盟科技星云实验室发布的《全球云上数据泄露风险分析报告(第六期)》显示,短短三个月内,10起典型数据泄露事件波及数千万用户,涵盖政府机构、金融监管、汽车服务、零售企业等多个领域,其中4起事件与大模型技术直接相关,“AI驱动型风险”正成为云上数据安全的新挑战。
从事件成因来看,配置错误和系统入侵各占40%,是导致数据泄露的两大核心因素。前者多源于云服务访问控制策略不当,如未设置安全认证、开放不必要的公共访问权限;后者则涉及黑客利用零日漏洞、供应链攻击等手段,绕过防护机制窃取敏感信息。这些事件不仅暴露了企业在云安全管理中的普遍短板,更凸显出『数字化』时代数据防护的复杂性与紧迫性。
在政府与公共服务领域,尼日利亚社会投资协调平台的案例尤为典型。该平台使用的Amazon S3对象存储服务因未配置安全访问控制策略,导致2300万份公民社会福利申请表被公开访问,其中包含护照、出生证明、教育证明等核心身份信息。无独有偶,国内某大学重点实验室部署在阿里云的Qdrant向量数据库,因未设置访问控制机制,数百条AI应用知识库与训练数据面临泄露风险。这类事件的共性在于,云服务默认配置的“开放性”被忽视,企业未根据数据敏感度调整权限,给攻击者留下可乘之机。
企业层面的泄露事件同样触目惊心。澳大利亚专业工具零售公司Sydney Tools的ClickHouse数据库因存在未授权访问漏洞,超5000条员工信息(含薪资、KPI)和3400万条订单数据(含消费者姓名、住址、联系方式)长期暴露,即便研究团队多次提醒,漏洞仍未及时修复。车辆跟踪服务提供商NexOpt的Kibana实例也因类似问题,泄露约1TB数据,涉及30万辆汽车的位置信息与数百万次行程记录,覆盖德国、美国、俄罗斯等多个国家,可能对用户隐私与公共安全造成连锁影响。
值得警惕的是,AI技术的普及正催生新型数据泄露风险。微软系列安全事件成为典型案例:OneDrive File Picker因OAuth权限设计缺陷,向ChatGPT、Slack等第三方AI应用开放用户云盘全量读取权限,数百万用户数据面临被过度获取的风险;SharePoint版Copilot AI则因访问控制不严格、行为不可审计,被黑客利用提取站点内的密码、私钥、API密钥等敏感信息,且不会留下访问日志,传统监控手段难以察觉。此外,GitHub MCP漏洞通过恶意提示注入劫持AI代理,越权访问企业私有仓库,窃取物理地址、薪资详情等高度敏感数据,攻击门槛低但影响范围广,可能引发供应链安全危机。
金融监管领域的安全事件则凸显了长期潜伏攻击的危害。黑客自2023年5月起侵入美国货币监理署(OCC)管理员账户,持续监控并窃取15万名员工的电子邮件,其中包含金融机构财务状况、银行监管报告等敏感信息,直至2025年初才被发现。此类攻击具备国家级APT组织的典型特征,目标精准、潜伏周期长、规避检测能力强,可能对金融体系稳定性造成潜在威胁。
面对严峻的云上数据安全形势,企业与机构需从技术防护、管理优化两方面构建防御体系。在技术层面,应避免云服务“默认开放”的粗放配置,如开启对象存储“阻止公共访问”功能、限制云『服务器』安全组端口开放范围,针对ClickHouse、Elasticsearch等数据库启用身份验证与密码哈希机制;同时加强监控与审计,利用云厂商提供的审计日志服务,配置异常访问告警,及时发现未授权操作。
在管理层面,需强化员工安全意识,定期开展云安全培训,覆盖配置管理、数据加密、应急响应等内容;针对系统入侵风险,启用多因素身份验证(MFA),定期轮换API密钥与服务账户凭证,通过网络微分段策略隔离敏感业务;对于AI相关服务,需严格控制第三方应用权限,避免过度授权,同时加强AI代理的行为审计,防范提示词注入等新型攻击手段。
随着云计算与AI技术的深度融合,云上数据安全的边界正不断拓展,风险形式也日益复杂。此次报告揭示的案例表明,数据泄露不再仅是技术漏洞问题,更与企业安全管理理念、员工安全素养密切相关。未来,唯有建立“技术+管理+意识”三位一体的防护体系,才能有效应对『数字化』浪潮下的云上数据安全挑战,为用户隐私与企业资产保驾护航。
以下为报告节选内容
报告共计: 40页
中小未来圈,你需要的资料,我这里都有!
