全球云上数据泄露风险分析简报第六期

封面云上数据泄露风险分析报告 全球 （第六期） 关于星云实验室 绿盟科技星云实验室专注于云计算安全、云原生安全、解决方案研究与虚拟化网络安全问题研究。 基于 IaaS环境，结合 SDN/NFV 等新技术，提出软件定义安全的云防护体系。已承担并完成多项国家级、省市级及行业重点课题，成功孵化绿盟科技云安全及云原生安全解决方案。创新研究方向涵盖云上风险发现、云原生攻防靶场、攻击套件、API 安全及入侵模拟等。 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。 关于绿盟科技 绿盟科技集团股份有限公司（以下简称绿盟科技），成立于 2000 年 4 月，总部位于北京。公司于 2014 年 1 月29 日起在深圳证券交易所创业板 上市，证券代码：300369。绿盟科技在国内设有 40 多个分支机构，为政 府、运营商、金融、能源、互联网以及教育、医疗等行业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国 硅谷、日本东京、英国伦敦、新加坡设立海外子公司，深入开展全球业务，打造全球网络安全行业的中国品牌。 © 2025 绿盟科技 全球云上数据泄露风险分析简报（第六期） 目录前言 01 全球 3-6 月云上数据泄露典型事件解读 1 事件一. 尼日利亚社会投资协调平台 泄露数千万公民的个人身份信息 2 事件二. 澳大利亚专业工具零售公司 Sydney Tools 泄露数千万在线订单信息 3 事件三. 勒索软件团伙 CL0P 利用了 Cleo 零日漏洞引发赫兹租车遭重大数据泄露 5 事件四. 黑客在一年多的时间里侵入了联邦银行 监管机构最高官员的电子邮件账户和 15 万名员工的电子邮件 8 事件五. 车辆跟踪服务提供商 NexOpt 泄露约 1TB 来自世界各地的位置信息和行驶数据 11 事件六. 国内某大学重点实验室向量 数据库存在数据泄露风险 13 事件七. GitHub MCP 漏洞影响深远，或引发 供应链安全危机 15 2 目录事件八. 微软 OneDrive 被曝向 AI 聊天机 器人开放用户文件完全读取权限17 事件九. 微软 Defender XDR 误报致 1700+敏感文件 误传 ANY.RUN，隐私设置缺陷致数据公开暴露 19 事件十. 黑客利用微软 SharePoint 版 Copilot AI 漏洞窃取密码及敏感数据 21 02 安全建议 24 2.1 针对杂项错误类的安全建议 25 2.2 针对系统入侵的安全建议 28 2.3 针对遗失和被盗窃的资产的安全建议 28 03 总结 30 04 参考文献 33 © 2025 绿盟科技 全球云上数据泄露风险分析简报（第六期） 前言 本报告为绿盟科技创新研究院发布的第六期云上数据泄露简报，聚焦 2025 年 3-6 月期间的全球云上数据泄露事件。鉴于多数事件成因相似，我们精选了 10 起典型案例进行深入分析，以全面呈现云上数据泄露的整体态势。值得注意的是，其中 4 起事件与大模型技术密切相关，凸显了随着 Deepseek、Ollama 等开源模型的广泛应用，云上数据安全正面临显著的“AI 驱动型风险”。从事件成因来看，4 起事件源于配置错误，4 起由系统入侵引发，由此可见，云租户配置和供应链安全以及社工类攻击仍是导致数据泄露的主要因素。 © 2025 绿盟科技 全球云上数据泄露风险分析简报（第六期） - 1 - 一. 全球 3-6 月云上数据泄露典型事件解读 01全球3-6月云上数据泄露典型事件解读 © 2025 绿盟科技 全球云上数据泄露风险分析简报（第六期） - 2 - 事件一：尼日利亚社会投资协调平台泄露数千万公民的个人身份信息 事件时间：2025 年 3 月 泄露规模：约 2300 万份社会福利申请表，包括护照、住址、出生证明、教育证明等信息 事件回顾： 2025 年 3 月，Cybernews 研究团队发现一个暴露的 AmazonS3 对象存储服务，并定位到该服务归属于 NASIMS 尼日利亚社会投资协调平台。该对象存储服务中存储了超过 2300万份文件，包括护照、出生证明、教育证明以及 NPower 提交的申请等。NPower 是一项旨在解决青年失业问题的社会福利计划。NPower 申请人使用 NASIMS 平台申请加入该计划。 Cybernews 研究团队多次联系 NASIMS 管理人员和尼日利亚相关部门进行治理，该数据泄露事件已于 3 月 31 日得到解决。 事件分析： AmazonS3 是亚马逊云提供的一项对象存储服务，它提供了可配置的安全性、数据保护、合规性和访问控制功能保护用户的数据安全。对于 S3 对象存储服务的访问，Amazon 并未强制要求配置访问控制策略，用户仍可以配置对象存储服务的公开访问。 导致此次数据泄露事件的主要原因是服务配置错误。尼日利亚社会投资协调平台未对其使用的 AmazonS3 对象存储服务配置安全的访问控制策略，导致任何人均可公开访问该对象存储服务，可能包含恶意攻击者。 VERIZON 事件分类：Miscellaneous Errors（杂项错误） 所用 MITRE ATT&CK 技术： 技术 子技术 利用方式 T1593 搜索开放网站/域 .002 搜索引擎 攻击者可能利用网络空间搜索引擎进行情报收集。 T1133 外部远程服务 N/A 攻击者识别暴露服务中的 Amazon S3 对象存储服务。 T1587 开发功能 .004 利用工具 攻击者开发对暴露服务进行安全测试的工具。 T1530 云存储中的数据 N/A 攻击者访问 Amazon S3 对象存储服务的数据。 T1567 通过 Web 服务外泄 N/A 攻击者可能利用 Web 服务进行数据窃取。 参考链接： https://cybernews.com/security/government-data-leak-nasims-citizen-records/ © 2025 绿盟科技 全球云上数据泄露风险分析简报（第六期） - 3 - 事件二：澳大利亚专业工具零售公司 Sydney Tools 泄露数千万在线订单信息 事件时间：2025 年 3 月 泄露规模：超 5000 条公司员工信息、超 3400 万条订单信息 事件回顾： 2025 年 3 月，Cybernews 研究团队发现一个暴露的 ClickHouse 服务，并定位到该服务归属于澳大利亚专业工具、装备零售公司 SydneyTools。暴露的 ClickHouse 服务包含超过5000 条公司员工个人身份信息，包含姓名、工作部门、薪资以及 KPI 情况。除此之外，该服务中还包含了超 3400 万条在线订单信息，包含消费者姓名、电子邮件、家庭住址、联系方式及购买商品情况等。 图 1. 疑似 clickhouse 泄露信息截图